Wielu osobom wydaje się, że smartfony używały uwierzytelniania biometrycznego, takiego jak odciski palców, na długo przed tym, zanim stały się one bardziej powszechne na laptopach. To jednak mylne założenie, ponieważ skanery odcisków palców były obecne w komputerach w czasach, kiedy nikt nie słyszał o iOS czy Androidzie. Chociaż wtedy również można było znaleźć pojedyncze modele smartfonów z Windowsem Mobile, które miały to rozwiązanie. Jednak skończmy z tą dygresją. Faktem jest to, że to smartfony spopularyzowały odblokowywanie urządzenia przy pomocy twarzy. Platforma Windows Hello firmy Microsoft jest próbą zapewnienia tej samej kombinacji wygody i bezpieczeństwa i, w większości, wydaje się, że działa wystarczająco dobrze. Niestety, ale w dużej mierze to tylko pozory.
Windows Hello złamane fałszywą kamerką internetową
Nowe badania nad bezpieczeństwem ujawniają jednak fatalną lukę w procesie rozpoznawania twarzy Windows Hello, która może ominąć uwierzytelnianie za pomocą niestandardowego urządzenia USB. Na szczęście wykorzystanie tego w prawdziwym życiu nie jest tak proste, jak sama wada. Otóż system Windows wymaga, aby komputer był wyposażony w kamerę z czujnikami RGB i IR, aby funkcja rozpoznawania twarzy Windows Hello działała. Okazuje się jednak, że tak naprawdę tylko dane z czujnika podczerwieni mają kluczowe znaczenie dla obejścia zabezpieczeń systemu Windows. Naukowcy opracowali urządzenie USB z płytki ewaluacyjnej NXP, która prezentowała się jako kamera USB z czujnikami RGB i IR. W rzeczywistości jednak urządzenie po prostu wysłało gotowe ramki obrazu: kilka ramek IR prawdziwego właściciela i kilka ramek RGB Spongeboba. Po kilku testach naukowcy odkryli, że naprawdę potrzebowali tylko jednej ramki na podczerwień i zwykłej czarnej ramki RGB, aby oszukać Windows Hello.
Zobacz też: Kolejna afera z bateriami Apple? Podobno już nawet iPhone 12 jest spowalniany
Według CyberArk luka ta istnieje, ponieważ funkcja Windows Hello umożliwia urządzeniom zewnętrznym działanie jako źródła danych do uwierzytelniania biometrycznego. Z jednej strony nie ma innego wyjścia, ponieważ nie wszystkie komputery z systemem Windows mają wbudowane kamery lub czujniki linii papilarnych. Z drugiej strony badania dowodzą, że jest to również najsłabsze ogniwo tego, co powinno być niezawodnym systemem bezpieczeństwa. Na szczęście, aby atakujący mógł wykorzystać tę słabość, musi uzyskać obrazy twarzy celu w podczerwieni, a to nie jest łatwe zadanie. Potrzebowaliby również fizycznego dostępu do komputera stacjonarnego lub laptopa.
Źródło: SlashGear