Windows Hello autentifikacija zaobiđena lažnom kamerom

Ikona vremena čitanja 2 min. čitati

Ikona kalendara Objavljeno na Srpanj 18, 2021

objavljeno Srpanj 18, 2021

Čitatelji pomažu pri podršci MSpoweruser. Možda ćemo dobiti proviziju ako kupujete putem naših veza.

Hakeri su pokazali da su u stanju zaobići Windows Hello sigurnost korištenjem lažne USB kamere koja je odašiljala snimljene infracrvene slike cilja što se čini da Windows Hello vrlo rado prihvaća.

Čini se da je problem spremnost sustava Windows Hello da prihvati bilo koju IR kameru kao Windows Hello kameru, dopuštajući hakerima da PC-u ponude izmanipuliranu, a ne stvarnu paru podataka.

Osim toga, pokazalo se da hakeri moraju poslati samo dva okvira na računalo – jedno pravo IR snimanje mete i jedan prazan crni okvir. Čini se da je drugi okvir potreban za zavaravanje Windows Hello testova živosti.

CyberArk Labs kaže da se IR slika može snimiti posebnim IR kamerama dugog dometa ili kamerama koje se krišom postavljaju u okolinu mete, kao što je dizalo.

Microsoft je prepoznao ranjivost u savjetodavni CVE-2021-34466 i ponudio je Windows Hello Enhanced Sign-in Security kao ublažavanje. To omogućuje samo Windows Hello kamere koje su dio kriptografskog lanca povjerenja OEM-a da se koriste kao izvor podataka, što CyberArk napominje da nije podržano na svim uređajima.

Pročitajte sve detalje na CyberArk ovdje.

Više o temama: sigurnosti, prozori pozdrav

Surur Davids

Stručnjak za pametne telefone

Surur Davids je osnivač WMPoweruser koji je kasnije postao MSPoweruser.com. On je stručnjak za pametne telefone s više od desetljeća iskustva.