Il sistema di autenticazione Microsoft Windows Hello è compatibile con webcam di diversi produttori, rendendolo il più semplice possibile da usare. Tuttavia, questa versatilità può rendere la tecnologia meno sicura contro gli aggressori. Ne erano convinti gli esperti della società CyberArk, che sono riusciti a ingannare Windows Hello utilizzando l'immagine del volto del proprietario del computer.
Windows Hello è compatibile con una varietà di webcam che dispongono di un sensore RGB o a infrarossi. Durante la ricerca, è emerso che durante il processo di autenticazione, il sistema elabora solo frame a infrarossi. Per testare questa ipotesi, i ricercatori hanno realizzato uno speciale dispositivo USB in cui hanno caricato fotografie a infrarossi del proprietario del laptop e immagini RGB del personaggio dei cartoni animati SpongeBob. Una volta connesso, Windows Hello ha rilevato il dispositivo come una fotocamera USB e il computer è stato sbloccato correttamente utilizzando una foto a infrarossi.
Vale la pena notare che sarà estremamente difficile hackerare il computer di qualcuno utilizzando questa tecnica, poiché ciò richiede l'ottenimento di una fotografia a infrarossi del proprietario del dispositivo. Tuttavia, questo è ancora un difetto di sicurezza di Windows Hello che potrebbe teoricamente essere sfruttato dagli aggressori. Microsoft ha già rilasciato una correzione per quella che l'azienda chiama "Hello security feature bypass vulnerability". Microsoft offre anche Windows Hello Enhanced Sign-in Security, che crittografa il volto dell'utente e lo archivia in un'area protetta separata.
2021-07-18 10:23:23
Autore: Vitalii Babkin