حفره امنیتی در قابلیت تشخیص چهره‌ی Windows Hello

حفره امنیتی در قابلیت تشخیص چهره‌ی Windows Hello
تاریخ انتشار : ۲۸ تير ۱۴۰۰

مایکروسافت قابلیت Windows Hello را برای سازگاری با وبکم‌های مختلف طراحی کرده است؛ اما این ویژگی می تواند برای مجرمان سایبری فرصتی برای سوءاستفاده ایجاد کند.

به گزارش گرداب، طبق گزارش Wired، محققان شرکت امنیتی CyberArk موفق شده اند تا سیستم تشخیص چهره ی Hello را با استفاده از عکس چهره ی صاحب رایانه، فریب دهند.

Windows Hello از دوربین هایی با سنسور‌های RGB و مادون قرمز استفاده می‌کند. اما بعد از بررسی سیستم احراز هویت، محققان متوجه شدند که این سیستم فقط فریم های مادون قرمز را پردازش می کند.
محققان برای تایید یافته ی خود، عکس های مادون قرمز صاحب رایانه و تصاویر RGB از باب اسفنجی را در یک دستگاه USB قرار دادند. Hello دستگاه را به عنوان دوربین USB شناسایی کرد و محققان توانستند تا فقط با عکس های IR از صاحب رایانه، قفل دستگاه را باز کنند.

علاوه بر این، محققان دریافتند که به چندین تصویر IR نیازی ندارند و فقط با یک فریم IR با یک قاب سیاه می توان رایانه ی قفل شده توسط Hello را باز کرد.
در واقعیت نفوذ کردن به رایانه ی شخصی با استفاده از این روش بسیار دشوار است؛ زیرا مهاجم حتماً به عکس IR کاربر نیاز دارد. اما باز هم این یک نقطه ضعفی است که می تواند توسط مجرمانی که به شدت نیاز به نفوذ به رایانه ی شخصی فردی داشته باشند، مورد سوءاستفاده قرار بگیرد.
اگر شرکت های فناوری می خواهند از روش های بیومتریک بیش‌تر از رمزعبور استفاده کنند، باید مطمئن شوند که ابزار‌های احراز هویتی آن‌ها، قوی و ایمن هستند. تیم CyberArk تصمیم گرفته است تا Windows Hello را تحت بررسی بیش‌تر قرار دهد؛ زیرا این قابلیت، یکی از پرکاربردترین سیستم احراز هویت بدون نیاز به رمزعبور است.

مایکروسافت افزونه‌هایی برای این قابلیت منتشر کرده است و هم چنین توصیه کرده تا کاربران گزینه ی امنیت پیشرفته ی ورود به سیستم Windows Hello را فعال کنند تا با این کار، داده های چهره ی کاربر رمزگذاری شده و در جایی امن ذخیره شود.