Autenticação do Windows Hello ignorada com câmera falsa

Ícone de tempo de leitura 2 minutos. ler

Ícone do calendário Publicado em 18 de julho de 2021

publicado em 18 de julho de 2021

Os leitores ajudam a oferecer suporte ao MSpoweruser. Podemos receber uma comissão se você comprar através de nossos links.

Os hackers demonstraram que são capazes de contornar a segurança do Windows Hello usando uma câmera USB falsa que transmitiu imagens infravermelhas capturadas de um alvo que parece que o Windows Hello está muito feliz em aceitar.

O problema parece ser a disposição do Windows Hello de aceitar qualquer câmera compatível com IR como uma câmera do Windows Hello, permitindo que hackers ofereçam um fluxo de dados manipulado em vez de real para o PC.

Além disso, os hackers só precisam enviar dois quadros para o PC – uma captura IR real do alvo e um quadro preto em branco. Parece que o segundo quadro é necessário para enganar os testes de vivacidade do Windows Hello.

O CyberArk Labs diz que a imagem IR pode ser capturada por câmeras IR especiais de longo alcance ou por câmeras colocadas sub-repticiamente no ambiente do alvo, como um elevador.

A Microsoft reconheceu a vulnerabilidade em um comunicado CVE-2021-34466 e ofereceu a segurança de entrada aprimorada do Windows Hello como mitigação. Isso só permite que as câmeras do Windows Hello que fazem parte da cadeia criptográfica de confiança do OEM sejam usadas como fonte de dados, algo que a CyberArk observa que não é compatível com todos os dispositivos.

Leia todos os detalhes em CyberArk aqui.

Mais sobre os tópicos: segurança, olá windows

Surur Davids

Especialista em smartphones

Surur Davids é o fundador do WMPoweruser, que mais tarde se tornou MSPoweruser.com. Ele é um especialista em smartphones com mais de uma década de experiência.