Экспертам по кибербезопасности из компании CyberArk удалось обмануть систему распознавания лиц Windows Hello, используя изображение лица владельца компьютера.
Microsoft разработала Windows Hello для быстрого и защищённого доступа к ноутбукам и ПК с Windows 10. Для этого могут использоваться отпечатки пальцев пользователя, PIN-код или функция распознавания лица. Последняя совместима с веб-камерами различных производителей, но требует наличия в них инфракрасного и RGB-датчика.
Специалисты CyberArk установили, что при распознавании лица система может обрабатывать только инфракрасные кадры, причём для успешной аутентификации может хватить всего одного фото.
Для проверки этой теории они создали специальное USB-устройство, в которое загрузили ИК-фотографии пользователя и изображения Губки Боба в формате RGB. Windows Hello распознала гаджет как USB-камеру и разблокировала ПК по одной лишь ИК-фотографии. Кадры с обладателем квадратных штанов её не смутили.
Специалисты отметили, что использовать эту уязвимость для взлома чужого ПК будет довольно сложно. Злоумышленнику в таком случае потребуется ИК-фотография пользователя и физический доступ к устройству. И тем не менее, лазейка существует, и Microsoft о ней в курсе. Разработчики компании уже выпустили первый апдейт, который должен исправлять «уязвимостью обхода функций безопасности Hello».