A Windows Hello hitelesítés megkerülve hamis kamerával

Főoldal » #Újraküldés

Olvasási idő ikonra 2 perc olvas

Naptár ikonra Publikálva

by Surur Davids 

közzétették

Ossza meg ezt a cikket

Az olvasók segítenek az MSpoweruser támogatásában. Kaphatunk jutalékot, ha a linkjeinken keresztül vásárol. Eszköztipp ikon

Olvassa el közzétételi oldalunkat, hogy megtudja, hogyan segítheti az MSPowerusert a szerkesztői csapat fenntartásában Tovább

A hackerek bebizonyították, hogy képesek megkerülni a Windows Hello biztonságát egy hamis USB-kamera használatával, amely infravörös képeket továbbított egy célpontról, amelyet a Windows Hello nagyon szívesen elfogad.

Úgy tűnik, hogy a probléma az, hogy a Windows Hello hajlandó bármilyen IR-képes kamerát elfogadni Windows Hello-kameraként, ami lehetővé teszi a hackerek számára, hogy manipulált, nem pedig valódi adatgőzt kínáljanak a számítógépnek.

Ezenkívül kiderült, hogy a hackereknek csak két képkockát kell küldeniük a számítógépre – egy valódi IR-rögzítést a célpontról és egy üres fekete keretet. Úgy tűnik, a második képkockára van szükség a Windows Hello életképességi tesztjeinek megtévesztéséhez.

A CyberArk Labs szerint az infravörös képet speciális, nagy hatótávolságú infravörös kamerákkal vagy a célpont környezetében rejtetten elhelyezett kamerákkal, például lifttel lehet rögzíteni.

A Microsoft felismerte a biztonsági rést egy tanácsadó CVE-2021-34466 és enyhítő megoldásként felajánlotta a Windows Hello Enhanced Sign-in Security-t. Ez csak az OEM-től származó kriptográfiai bizalmi lánc részét képező Windows Hello kamerák használatát teszi lehetővé adatforrásként, amit a CyberArk szerint nem minden eszköz támogat.

Olvassa el az összes részletet a Itt a CyberArk.

Surur Davids

Surur Davids Shield

Okostelefon szakértő

Surur Davids a WMPoweruser alapítója, amely később MSPoweruser.com lett. Több mint egy évtizedes tapasztalattal rendelkező okostelefon-szakértő.

Felhasználói fórum

0 üzenetek