مایکروسافت قابلیت Windows Hello را برای سازگاری با وبکمهای مختلف طراحی کرده است؛ اما این ویژگی می تواند برای مجرمان سایبری فرصتی برای سوءاستفاده ایجاد کند.
به گزارش گرداب، طبق گزارش Wired، محققان شرکت امنیتی CyberArk موفق شده اند تا سیستم تشخیص چهره ی Hello را با استفاده از عکس چهره ی صاحب رایانه، فریب دهند.
Windows Hello از دوربین هایی با سنسورهای RGB و مادون قرمز استفاده میکند. اما بعد از بررسی سیستم احراز هویت، محققان متوجه شدند که این سیستم فقط فریم های مادون قرمز را پردازش می کند.
محققان برای تایید یافته ی خود، عکس های مادون قرمز صاحب رایانه و تصاویر RGB از باب اسفنجی را در یک دستگاه USB قرار دادند. Hello دستگاه را به عنوان دوربین USB شناسایی کرد و محققان توانستند تا فقط با عکس های IR از صاحب رایانه، قفل دستگاه را باز کنند.
علاوه بر این، محققان دریافتند که به چندین تصویر IR نیازی ندارند و فقط با یک فریم IR با یک قاب سیاه می توان رایانه ی قفل شده توسط Hello را باز کرد.
در واقعیت نفوذ کردن به رایانه ی شخصی با استفاده از این روش بسیار دشوار است؛ زیرا مهاجم حتماً به عکس IR کاربر نیاز دارد. اما باز هم این یک نقطه ضعفی است که می تواند توسط مجرمانی که به شدت نیاز به نفوذ به رایانه ی شخصی فردی داشته باشند، مورد سوءاستفاده قرار بگیرد.
اگر شرکت های فناوری می خواهند از روش های بیومتریک بیشتر از رمزعبور استفاده کنند، باید مطمئن شوند که ابزارهای احراز هویتی آنها، قوی و ایمن هستند. تیم CyberArk تصمیم گرفته است تا Windows Hello را تحت بررسی بیشتر قرار دهد؛ زیرا این قابلیت، یکی از پرکاربردترین سیستم احراز هویت بدون نیاز به رمزعبور است.
مایکروسافت افزونههایی برای این قابلیت منتشر کرده است و هم چنین توصیه کرده تا کاربران گزینه ی امنیت پیشرفته ی ورود به سیستم Windows Hello را فعال کنند تا با این کار، داده های چهره ی کاربر رمزگذاری شده و در جایی امن ذخیره شود.
