Microsoft Windows Hello認証システムは、さまざまなメーカーのWebカメラと互換性があるため、可能な限り簡単に使用できます。ただし、この汎用性により、攻撃者に対するテクノロジーの安全性が低下する可能性があります。 CyberArk社の専門家は、コンピューター所有者の顔画像を使用してWindowsHelloを欺くことができたと確信していました。
Windows Helloは、RGBまたは赤外線センサーを備えたさまざまなWebカメラと互換性があります。調査中に、認証プロセス中、システムは赤外線フレームのみを処理することがわかりました。この仮定をテストするために、研究者たちは、ラップトップの所有者の赤外線写真と漫画のキャラクタースポンジボブのRGB画像をロードする特別なUSBデバイスを作成しました。接続されると、Windows HelloはデバイスをUSBカメラとして検出し、コンピューターは赤外線写真を使用して正常にロック解除されました。
この手法を使用して誰かのコンピューターをハッキングすることは非常に困難であることに注意してください。これには、デバイスの所有者の赤外線写真を取得する必要があるためです。ただし、これは依然としてWindows Helloのセキュリティ上の欠陥であり、理論的には攻撃者によって悪用される可能性があります。 Microsoftは、同社が「Helloセキュリティ機能バイパスの脆弱性」と呼んでいるものの修正をすでにリリースしています。 Microsoftは、Windows Hello拡張サインインセキュリティも提供しています。これは、ユーザーの顔を暗号化し、別の安全な領域に保存します。
2021-07-18 10:23:23
著者: Vitalii Babkin