Биометрические системы всё чаще используются в качестве метода аутентификации и считаются довольно безопасными. Однако специалистам компании CyberArk удалось обойти таковую от Microsoft.
Windows Hello предоставляет пользователям Windows 10 доступ к устройствам и приложениям с помощью распознавания лиц (или отпечатков пальцев) без ввода пароля.
При этом, в отличие от других подобных решений (например, FaceID от Apple), технология совместима с веб-камерами от сторонних производителей и требует наличия в них инфракрасного и RGB-датчика.
В своей работе исследователи зафиксировали, что в момент аутентификации Hello обрабатывает только инфракрасные кадры, при этом для успешной проверки подлинным может вообще быть только один из них.
Процесс продемонстрировали на кастомном USB-устройстве — на него загрузили ИК-фотографию пользователя и изображения Губки Боба в формате RGB. Hello распознала «флешку» как USB-камеру и спокойно предоставила доступ.
Осуществить реальный взлом с помощью этой техники сложно. Злоумышленникам необходимо получить инфракрасное изображение лица цели и физический доступ к устройству.
Тем не менее Microsoft подтвердила уязвимость и уже выпустила первые исправления. В компании также посоветовали активировать повышенную безопасность входа для шифрования данных.
Сервисом Windows Hello пользуется около 84,7% пользователей Windows 10.
