Windows Hello można oszukać. Zabezpieczenia biometryczne są łatwe do złamania

Użytkownicy korzystający z szybkiego logowania się do systemu za pomocą Windows Hello powinni przemyśleć, czy nie zrezygnować z funkcji rozpoznawania twarzy. Microsoft wydał wczoraj poprawkę, która powinna rozwiązać problemy, jednak podkreśla, że istnieje możliwość, że w niektórych przypadkach będzie on dalej występował.

Windows 10
Windows 10
Źródło zdjęć: © CC-BY | Panos Sakalakis
Karolina Kowasz

Luka opisana jako CVE-2021-34466 została wykryta przez specjalistów z CyberArk Labs. Zgodnie z doniesieniami Threat Post, możliwe było jej wykorzystanie do oszukania systemów rozpoznawania twarzy, szczególnie, gdy użytkownik wykorzystywał do weryfikacji kamerę podłączaną na USB.

Niebezpieczne Windows Hello

Windows Hello jest popularną funkcją w systemie Windows 10. Za jej pomocą użytkownik może dokonać uwierzytelnienia się bez hasła przy tożsamości biometrycznej. W tym celu używa się odcisku palca lub rozpoznawania twarzy aby uzyskać dostęp do urządzenia.

Funkcja jest bardzo popularna wśród użytkowników Windowsa. Według danych Microsoftu około 85 procent użytkowników systemu korzysta z tej metody weryfikacji. Mając to na uwadze, wszelkie podatności w Windows Hello są szczególnie niebezpieczne z perspektywy użytkowników.

Korzystanie z luki

Threat Post powołuje się na naukowców z CyberArk Labs, według których skorzystanie z luki wymaga od atakującego fizycznego dostępu do urządzenia. Dopiero wtedy haker zyskuje możliwość manipulacji procesem uwierzytelniania. 

Badacz cyberbezpieczeństwa w firmie CyberArk Labs, Omer Tsarfat przekazał, że przechwytując lub odtwarzając zdjęcie twarzy celu, a następnie podłączając wykonane na zamówienie urządzenie USB, aby przesłać sfałszowane obrazy celem uwierzytelniającego, oszust może zalogować się do systemu.

Co ważne, już wczoraj Microsoft załatał tę lukę, w ramach swojej wtorkowej aktualizacji. Zdaniem Tsarfata ich rozwiązanie może nie w pełni rozwiązać ten problem. Badacz sądzi, że nie wszystkie aspekty tego problemu mogły zostać załatane, dlatego użytkownicy Windows Hello powinni rozważyć czy chcą, póki co, korzystać z tego zabezpieczenia.

Programy

Zobacz więcej
Wybrane dla Ciebie
Komentarze (36)