Windows Hello można oszukać. Zabezpieczenia biometryczne są łatwe do złamania
Użytkownicy korzystający z szybkiego logowania się do systemu za pomocą Windows Hello powinni przemyśleć, czy nie zrezygnować z funkcji rozpoznawania twarzy. Microsoft wydał wczoraj poprawkę, która powinna rozwiązać problemy, jednak podkreśla, że istnieje możliwość, że w niektórych przypadkach będzie on dalej występował.
Luka opisana jako CVE-2021-34466 została wykryta przez specjalistów z CyberArk Labs. Zgodnie z doniesieniami Threat Post, możliwe było jej wykorzystanie do oszukania systemów rozpoznawania twarzy, szczególnie, gdy użytkownik wykorzystywał do weryfikacji kamerę podłączaną na USB.
Niebezpieczne Windows Hello
Windows Hello jest popularną funkcją w systemie Windows 10. Za jej pomocą użytkownik może dokonać uwierzytelnienia się bez hasła przy tożsamości biometrycznej. W tym celu używa się odcisku palca lub rozpoznawania twarzy aby uzyskać dostęp do urządzenia.
Funkcja jest bardzo popularna wśród użytkowników Windowsa. Według danych Microsoftu około 85 procent użytkowników systemu korzysta z tej metody weryfikacji. Mając to na uwadze, wszelkie podatności w Windows Hello są szczególnie niebezpieczne z perspektywy użytkowników.
Korzystanie z luki
Threat Post powołuje się na naukowców z CyberArk Labs, według których skorzystanie z luki wymaga od atakującego fizycznego dostępu do urządzenia. Dopiero wtedy haker zyskuje możliwość manipulacji procesem uwierzytelniania.
Badacz cyberbezpieczeństwa w firmie CyberArk Labs, Omer Tsarfat przekazał, że przechwytując lub odtwarzając zdjęcie twarzy celu, a następnie podłączając wykonane na zamówienie urządzenie USB, aby przesłać sfałszowane obrazy celem uwierzytelniającego, oszust może zalogować się do systemu.
Co ważne, już wczoraj Microsoft załatał tę lukę, w ramach swojej wtorkowej aktualizacji. Zdaniem Tsarfata ich rozwiązanie może nie w pełni rozwiązać ten problem. Badacz sądzi, że nie wszystkie aspekty tego problemu mogły zostać załatane, dlatego użytkownicy Windows Hello powinni rozważyć czy chcą, póki co, korzystać z tego zabezpieczenia.