Совместимые с Windows Hello камеры должны быть обязательно оснащены двумя видами датчиков: инфракрасным и RGB-датчиком. Но исследователи обнаружили, что система обрабатывает только ИК-снимки. Для подтверждения своей гипотезы они изготовили кастомное USB-устройство, в которое загрузили инфракрасные фотографии пользователя и RGB-картинки Губки Боба.
Система распознала USB-устройство как камеру и благополучно разблокировалась только по инфракрасным фотографиям. Более того, для «подтверждения личности» пользователя ей хватает всего одного ИК-кадра.
В реальности взломать компьютер таким методом всё равно довольно сложно, поскольку для этого нужна ИК-фотография жертвы. Однако факт уязвимости и возможность её эксплуатации есть. Исследователи решили проверить безопасность Windows Hello потому, что это — одна из самых распространённых технологий беспарольной аутентификации.
Microsoft уже выпустила патч с исправлением ошибки. Также компания рекомендует использовать функцию повышенной безопасности авторизации через Windows Hello, при включении которой данные о лице пользователя шифруются и хранятся в защищённой области.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.