احراز هویت Windows Hello با دوربین جعلی دور زده شد
2 دقیقه خواندن
منتشر شده در
صفحه افشای ما را بخوانید تا بدانید چگونه می توانید به MSPoweruser کمک کنید تا تیم تحریریه را حفظ کند ادامه مطلب
هکرها نشان دادهاند که میتوانند با استفاده از یک دوربین USB جعلی که تصاویر مادون قرمز گرفته شده از یک هدف را مخابره میکند، امنیت Windows Hello را دور بزنند که به نظر میرسد Windows Hello از پذیرش آن بسیار خوشحال است.
به نظر میرسد که مشکل Windows Hello برای پذیرش هر دوربینی با قابلیت IR به عنوان یک دوربین Windows Hello است که به هکرها اجازه میدهد تا دادههای دستکاری شده و نه واقعی را به رایانه شخصی ارائه دهند.
علاوه بر این، به نظر می رسد که هکرها فقط باید دو فریم را به رایانه شخصی ارسال کنند - یک عکس واقعی IR از هدف و یک فریم سیاه خالی. به نظر می رسد فریم دوم برای فریب دادن تست های زنده بودن Windows Hello مورد نیاز است.
CyberArk Labs میگوید که تصویر مادون قرمز را میتوان با دوربینهای IR ویژه برد بلند یا دوربینهایی که بهطور مخفیانه در محیط هدف مانند بالابر قرار میگیرند، ثبت کرد.
مایکروسافت آسیب پذیری موجود در یک را تشخیص داده است مشاوره CVE-2021-34466 و Windows Hello Enhanced Sign-in Security را به عنوان کاهش ارائه کرده است. این فقط به دوربینهای Windows Hello که بخشی از زنجیره رمزنگاری اعتماد OEM هستند اجازه میدهد به عنوان منبع داده استفاده شوند، چیزی که CyberArk اشاره میکند توسط همه دستگاهها پشتیبانی نمیشود.
تمام جزئیات را در CyberArk اینجاست.