Исследователи обошли систему аутентификации Windows Hello при помощи инфракрасного фото

Совместимые с Windows Hello камеры должны быть обязательно оснащены двумя видами датчиков: инфракрасным и RGB-датчиком. Но исследователи обнаружили, что система обрабатывает только ИК-снимки. Для подтверждения своей гипотезы они изготовили кастомное USB-устройство, в которое загрузили инфракрасные фотографии пользователя и RGB-картинки Губки Боба.

Система распознала USB-устройство как камеру и благополучно разблокировалась только по инфракрасным фотографиям. Более того, для «подтверждения личности» пользователя ей хватает всего одного ИК-кадра.

В реальности взломать компьютер таким методом всё равно довольно сложно, поскольку для этого нужна ИК-фотография жертвы. Однако факт уязвимости и возможность её эксплуатации есть. Исследователи решили проверить безопасность Windows Hello потому, что это — одна из самых распространённых технологий беспарольной аутентификации.

Microsoft уже выпустила патч с исправлением ошибки. Также компания рекомендует использовать функцию повышенной безопасности авторизации через Windows Hello, при включении которой данные о лице пользователя шифруются и хранятся в защищённой области.