Autenticação do Windows Hello ignorada com câmera falsa

Inicio » #Repost

Ícone de tempo de leitura 2 minutos. ler

Ícone do calendário Publicado em

by Surur Davids 

publicado em

Compartilhe este artigo

Os leitores ajudam a oferecer suporte ao MSpoweruser. Podemos receber uma comissão se você comprar através de nossos links. Ícone de dica de ferramenta

Leia nossa página de divulgação para descobrir como você pode ajudar o MSPoweruser a sustentar a equipe editorial Saiba mais

Os hackers demonstraram que são capazes de contornar a segurança do Windows Hello usando uma câmera USB falsa que transmitiu imagens infravermelhas capturadas de um alvo que parece que o Windows Hello está muito feliz em aceitar.

O problema parece ser a disposição do Windows Hello de aceitar qualquer câmera compatível com IR como uma câmera do Windows Hello, permitindo que hackers ofereçam um fluxo de dados manipulado em vez de real para o PC.

Além disso, os hackers só precisam enviar dois quadros para o PC – uma captura IR real do alvo e um quadro preto em branco. Parece que o segundo quadro é necessário para enganar os testes de vivacidade do Windows Hello.

O CyberArk Labs diz que a imagem IR pode ser capturada por câmeras IR especiais de longo alcance ou por câmeras colocadas sub-repticiamente no ambiente do alvo, como um elevador.

A Microsoft reconheceu a vulnerabilidade em um comunicado CVE-2021-34466 e ofereceu a segurança de entrada aprimorada do Windows Hello como mitigação. Isso só permite que as câmeras do Windows Hello que fazem parte da cadeia criptográfica de confiança do OEM sejam usadas como fonte de dados, algo que a CyberArk observa que não é compatível com todos os dispositivos.

Leia todos os detalhes em CyberArk aqui.

Surur Davids

Surur Davids Proteger

Especialista em smartphones

Surur Davids é o fundador do WMPoweruser, que mais tarde se tornou MSPoweruser.com. Ele é um especialista em smartphones com mais de uma década de experiência.

Fórum de usuários

Mensagens 0