احراز هویت Windows Hello با دوربین جعلی دور زده شد

هکرها نشان داده‌اند که می‌توانند با استفاده از یک دوربین USB جعلی که تصاویر مادون قرمز گرفته شده از یک هدف را مخابره می‌کند، امنیت Windows Hello را دور بزنند که به نظر می‌رسد Windows Hello از پذیرش آن بسیار خوشحال است.

به نظر می‌رسد که مشکل Windows Hello برای پذیرش هر دوربینی با قابلیت IR به عنوان یک دوربین Windows Hello است که به هکرها اجازه می‌دهد تا داده‌های دستکاری شده و نه واقعی را به رایانه شخصی ارائه دهند.

علاوه بر این، به نظر می رسد که هکرها فقط باید دو فریم را به رایانه شخصی ارسال کنند - یک عکس واقعی IR از هدف و یک فریم سیاه خالی. به نظر می رسد فریم دوم برای فریب دادن تست های زنده بودن Windows Hello مورد نیاز است.

CyberArk Labs می‌گوید که تصویر مادون قرمز را می‌توان با دوربین‌های IR ویژه برد بلند یا دوربین‌هایی که به‌طور مخفیانه در محیط هدف مانند بالابر قرار می‌گیرند، ثبت کرد.

مایکروسافت آسیب پذیری موجود در یک را تشخیص داده است مشاوره CVE-2021-34466 و Windows Hello Enhanced Sign-in Security را به عنوان کاهش ارائه کرده است. این فقط به دوربین‌های Windows Hello که بخشی از زنجیره رمزنگاری اعتماد OEM هستند اجازه می‌دهد به عنوان منبع داده استفاده شوند، چیزی که CyberArk اشاره می‌کند توسط همه دستگاه‌ها پشتیبانی نمی‌شود.

تمام جزئیات را در CyberArk اینجاست.