Дослідникам кібербезпеки вдалося обдурити Windows Hello

Microsoft розробила Windows Hello для сумісності з вебкамерами різних брендів. Але ця функція, розроблена для простоти входу, також може зробити технологію вразливою перед зловмисниками. Дослідникам з компанії CyberArk вдалося обдурити систему розпізнавання осіб Hello, використовуючи зображення обличчя власника комп’ютера.

Windows Hello вимагає використання камер як з RGB, так і з інфрачервоними датчиками. Але при дослідженні системи автентифікації дослідники виявили, що вона обробляє тільки інфрачервоні кадри. Щоб перевірити свій висновок, вони створили спеціальний USB-пристрій, в який завантажили інфрачервоні фотографії користувача і зображення Губки Боба в форматі RGB. Hello розпізнав пристрій як USB-камеру, і відбулося успішне розблокування тільки за допомогою інфрачервоної фотографій користувача.

Зламати чийсь комп’ютер за допомогою цієї техніки було б жахливо складно в реальності, оскільки зловмиснику, як і раніше, потрібна ІЧ-фотографія користувача. Тим не менш, це все ще слабкість, якою можуть скористатися ті, хто особливо зацікавлений в проникненні у чужий комп’ютер. Технологічним компаніям необхідно покращити безпеку своїх технологій автентифікації, якщо вони хочуть покладатися на біометрію. А також відмовитися від паролів як способу автентифікації. Команда CyberArk вирішила уважно вивчити Windows Hello, оскільки це одна з найбільш широко використовуваних систем автентифікації без пароля.

Microsoft вже випустила виправлення для того, що вона називає «уразливістю обходу функцій безпеки Hello». Технічний гігант також пропонує ввімкнути «посилену безпеку входу в систему Windows Hello», яка зашифрує дані про особу користувача і збереже їх в захищеній області.

Нещодавно ми розказували, що популярність Windows Vista зросла серед українців за останні 6 місяців.