研究：使用假的 USB 攝像頭可繞過 Windows Hello 認(rèn)證系統(tǒng)

IT之家 7 月 19 日消息 智能手機(jī)很早前就已經(jīng)用上生物識別認(rèn)證，如指紋和人臉，這些功能在筆記本電腦甚至臺式機(jī)上也變得越來越普遍。

微軟的 Windows Hello 系統(tǒng)試圖為其桌面平臺帶來同樣的便利和安全組合，而且在大多數(shù)情況下表現(xiàn)出色。然而，新的安全研究顯示，Windows Hello 的人臉識別過程中有一個致命的漏洞，那就是可以通過使用定制的 USB 設(shè)備繞過認(rèn)證。幸運(yùn)的是，在現(xiàn)實生活中要想利用這一漏洞并沒有那么簡單。

CyberArk 的安全研究人員發(fā)現(xiàn)，要想愚弄 Windows Hello 系統(tǒng)非常簡單，或者至少是其面部識別系統(tǒng)。Windows 要求個人電腦有一個帶有 RGB 和紅外傳感器的攝像頭，以便 Windows Hello 面部識別系統(tǒng)能夠工作。然而，事實證明，只有紅外傳感器的數(shù)據(jù)才是繞過 Windows 安全系統(tǒng)的關(guān)鍵。

IT之家了解到，研究人員使用恩智浦的評估板開發(fā)了一個 USB 設(shè)備，將自己顯示為一個帶有 RGB 和紅外傳感器的 USB 攝像頭。但實際上，該設(shè)備只是發(fā)送預(yù)制的圖像幀：一些真實主人的紅外幀和一些海綿寶寶的 RGB 幀。經(jīng)過幾次測試，研究人員發(fā)現(xiàn)，他們真的只需要一個紅外幀和一個普通的黑色 RGB 幀來欺騙 Windows Hello。

據(jù) CyberArk 稱，該漏洞的存在是因為 Windows Hello 允許外部設(shè)備作為生物識別認(rèn)證的數(shù)據(jù)源。一方面，微軟別無選擇，因為并非所有的 Windows PC 都有內(nèi)置的攝像頭或指紋傳感器。另一方面，研究證明，它也是本應(yīng)是萬無一失的安全系統(tǒng)中最薄弱的環(huán)節(jié)。

幸運(yùn)的是，要想利用這個漏洞，攻擊者需要獲得目標(biāo)臉部的紅外圖像，而這并不容易。此外，他們還需要對臺式機(jī)或筆記本電腦進(jìn)行物理接觸。

微軟這邊也作出了回應(yīng)，稱這是 Windows Hello 安全功能的繞過漏洞（bypass vulnerability），并且在本月的 13 日已經(jīng)發(fā)布了補(bǔ)丁來解決這一問題。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。