Ο έλεγχος ταυτότητας Windows Hello παρακάμπτεται με ψεύτικη κάμερα
2 λεπτό. ανάγνωση
Δημοσιεύθηκε στις
Μοιραστείτε αυτό το άρθρο
Βελτιώστε αυτόν τον οδηγό
Διαβάστε τη σελίδα αποκάλυψης για να μάθετε πώς μπορείτε να βοηθήσετε το MSPoweruser να διατηρήσει τη συντακτική ομάδα Διάβασε περισσότερα
Οι χάκερ έχουν αποδείξει ότι είναι σε θέση να παρακάμψουν την ασφάλεια του Windows Hello χρησιμοποιώντας μια ψεύτικη κάμερα USB που μετέδιδε λαμβανόμενες υπέρυθρες εικόνες ενός στόχου, τον οποίο φαίνεται ότι το Windows Hello δέχεται με μεγάλη χαρά.
Το πρόβλημα φαίνεται να είναι η προθυμία του Windows Hello να δεχτεί οποιαδήποτε κάμερα με δυνατότητα υπερύθρων ως κάμερα Windows Hello, επιτρέποντας στους χάκερ να προσφέρουν στον υπολογιστή ένα χειραγωγημένο και όχι πραγματικό ατμό δεδομένων.
Επιπλέον, αποδεικνύεται ότι οι χάκερ πρέπει να στείλουν μόνο δύο καρέ στον υπολογιστή - ένα πραγματικό IR σύλληψη του στόχου και ένα κενό μαύρο πλαίσιο. Φαίνεται ότι το δεύτερο πλαίσιο χρειάζεται για να ξεγελαστούν τα τεστ ζωντανότητας του Windows Hello.
Η CyberArk Labs λέει ότι η εικόνα υπερύθρων μπορεί να καταγραφεί από ειδικές κάμερες υπερύθρων μεγάλης εμβέλειας ή από κάμερες που τοποθετούνται κρυφά στο περιβάλλον του στόχου, όπως ένας ανελκυστήρας.
Η Microsoft έχει αναγνωρίσει την ευπάθεια σε ένα συμβουλευτικό CVE-2021-34466 και έχει προσφέρει το Windows Hello Enhanced Sign-in Security ως μετριασμό. Αυτό επιτρέπει μόνο στις κάμερες Windows Hello που αποτελούν μέρος της κρυπτογραφικής αλυσίδας εμπιστοσύνης από τον OEM να χρησιμοποιούνται ως πηγή δεδομένων, κάτι που σημειώνει το CyberArk δεν υποστηρίζεται από όλες τις συσκευές.
Διαβάστε όλες τις λεπτομέρειες στο CyberArk εδώ.
