A A A

Badacze odkryli, jak oszukać Windows Hello fałszywą kamerką

19 lipca 2021, 12:30
Okazuje się, że zabezpieczenie Microsoftu można bardzo łatwo obejść.
Badacze odkryli, jak oszukać Windows Hello fałszywą kamerką

Fałszywa kamerka

Windows Hello to oficjalne narzędzie Microsoftu, umożliwiające m.in. dokonywanie autoryzacji za pomocą kamery. Według statystyk z grudnia 2021 roku, Hello jest obecnie wykorzystywane przez 84,7% użytkowników Windowsa 10. Choć Microsoft deklarował, że system będzie bezpieczny, badacze z firmy CyberArk odkryli prosty sposób na jego obejście. Okazuje się, że narzędzie można oszukać za pomocą dwóch grafik i odpowiednio spreparowanego nośnika USB.

 

Tylko połowa sukcesu

Metoda jest o tyle ciekawa, że system wymaga do działania kamerki wyposażonej zarówno w sensor podczerwieni, jak również RGB. Teoretycznie powinno to utrudnić oszukanie narzędzia z użyciem zwykłej grafiki. Badacze odkryli jednak, że pomimo deklaracji twórców, oprogramowanie dokonuje wyłącznie analizy obrazu w podczerwieni, pomijając dokładne sprawdzenie danych z drugiego sensora. Windows Hello jedynie potwierdza jego obecność, poprzez sam fakt pobrania z urządzenia dwóch klatek obrazu.

By obejść zabezpieczenia, badacze wykorzystali spreparowany nośnik USB, udający kamerkę zewnętrzną. W pamięci ukryli dwa zdjęcia, które zostały przekazane Windows Hello jako aktualnie rejestrowany obraz. Jest on porównywany z fotografią właściciela zapisaną w pamięci. Do autoryzacji badaczom wystarczyło zdjęcie twarzy w podczerwieni oraz dowolny obraz RGB. By udowodnić, że Windows Hello zupełnie pomija analizę tego drugiego, na nośniku umieszczono grafikę przedstawiającą Spongeboba – gąbkę morską z popularnej kreskówki. System udało się nabrać również za pomocą czarnego tła.

 

Eksperci ostrzegają

Tego typu włamanie wymaga co prawda fizycznego dostępu do komputera i zdjęcia jego właściciela – ale zabezpieczenia biometryczne najczęściej wykorzystuje się w urządzeniach przenośnych, które są dużo bardziej narażone na kradzież, niż stojący w domu pecet. Eksperci uważają, że słabością Windows Hello są nie tylko algorytmy, ale też współpraca z kamerkami innych producentów. W przypadku Face ID, wykorzystywanego tylko w ramach ekosystemu Apple’a i niewspierającego zewnętrznych kamer, dużo trudniej oszukać urządzenie w taki sposób.

Microsoft już wydał poprawkę (po jej zainstalowaniu zdjęcie właściciela trafia do chronionego obszaru pamięci), ale badacze ostrzegają, że łata prawdopodobnie nie rozwiązuje problemu w pełni i wciąż może on wystąpić u niektórych użytkowników. Dlatego też CyberArk Labs odradza na razie korzystanie z zabezpieczeń. Firma zapowiedziała, że w przyszłym miesiącu podczas konferencji Black Hat w Las Vegas zaprezentuje raport dogłębnie analizujący działanie systemu.

fot. Pixabay


Krzysztof Kempski
Ocena:
Oceń:
Komentarze (0)

Redakcja nie ponosi odpowiedzialności za treść komentarzy. Komentarze wyświetlane są od najnowszych.
Najnowsze aktualności




Załóż konto
Co daje konto w serwisie pcformat.pl?

Po założeniu konta otrzymujesz możliwość oceniania materiałów, uczestnictwa w życiu forum oraz komentowania artykułów i aktualności przy użyciu indywidualnego identyfikatora.

Załóż konto