Windows Hello autentifikacija zaobiđena lažnom kamerom
2 min. čitati
Objavljeno na
Pročitajte našu stranicu za otkrivanje kako biste saznali kako možete pomoći MSPoweruseru da održi urednički tim Čitaj više
Hakeri su pokazali da su u stanju zaobići Windows Hello sigurnost korištenjem lažne USB kamere koja je odašiljala snimljene infracrvene slike cilja što se čini da Windows Hello vrlo rado prihvaća.
Čini se da je problem spremnost sustava Windows Hello da prihvati bilo koju IR kameru kao Windows Hello kameru, dopuštajući hakerima da PC-u ponude izmanipuliranu, a ne stvarnu paru podataka.
Osim toga, pokazalo se da hakeri moraju poslati samo dva okvira na računalo – jedno pravo IR snimanje mete i jedan prazan crni okvir. Čini se da je drugi okvir potreban za zavaravanje Windows Hello testova živosti.
CyberArk Labs kaže da se IR slika može snimiti posebnim IR kamerama dugog dometa ili kamerama koje se krišom postavljaju u okolinu mete, kao što je dizalo.
Microsoft je prepoznao ranjivost u savjetodavni CVE-2021-34466 i ponudio je Windows Hello Enhanced Sign-in Security kao ublažavanje. To omogućuje samo Windows Hello kamere koje su dio kriptografskog lanca povjerenja OEM-a da se koriste kao izvor podataka, što CyberArk napominje da nije podržano na svim uređajima.
Pročitajte sve detalje na CyberArk ovdje.
Korisnički forum
0 poruke