IT之傢 7 月 19 日消息 智能手機很早前就已經用上生物識別認證,如指紋和人臉,這些功能在筆記本電腦甚至臺式機上也變得越來越普遍。

研究:使用假的 USB 攝像頭可繞過 Windows Hello 認證系統

微軟的 Windows Hello 系統試圖為其桌面平臺帶來同樣的便利和安全組合,而且在大多數情況下表現出色。然而,新的安全研究顯示,Windows Hello 的人臉識別過程中有一個致命的漏洞,那就是可以通過使用定制的 USB 設備繞過認證。幸運的是,在現實生活中要想利用這一漏洞並沒有那麼簡單。

CyberArk 的安全研究人員發現,要想愚弄 Windows Hello 系統非常簡單,或者至少是其面部識別系統。Windows 要求個人電腦有一個帶有 RGB 和紅外傳感器的攝像頭,以便 Windows Hello 面部識別系統能夠工作。然而,事實證明,隻有紅外傳感器的數據才是繞過 Windows 安全系統的關鍵。

IT之傢瞭解到,研究人員使用恩智浦的評估板開發瞭一個 USB 設備,將自己顯示為一個帶有 RGB 和紅外傳感器的 USB 攝像頭。但實際上,該設備隻是發送預制的圖像幀:一些真實主人的紅外幀和一些海綿寶寶的 RGB 幀。經過幾次測試,研究人員發現,他們真的隻需要一個紅外幀和一個普通的黑色 RGB 幀來欺騙 Windows Hello。

據 CyberArk 稱,該漏洞的存在是因為 Windows Hello 允許外部設備作為生物識別認證的數據源。一方面,微軟別無選擇,因為並非所有的 Windows PC 都有內置的攝像頭或指紋傳感器。另一方面,研究證明,它也是本應是萬無一失的安全系統中最薄弱的環節。

幸運的是,要想利用這個漏洞,攻擊者需要獲得目標臉部的紅外圖像,而這並不容易。此外,他們還需要對臺式機或筆記本電腦進行物理接觸

創作者介紹
創作者 3C王者 的頭像
3C王者宇晨

3C王者

3C王者宇晨 發表在 痞客邦 留言(0) 人氣( 0 )