Overenie Windows Hello bolo obídené falošným fotoaparátom

Ikona času čítania 2 min. čítať

Ikona kalendára Publikované dňa Júla 18, 2021

publikované dňa Júla 18, 2021

Čítačky pomáhajú podporovať MSpoweruser. Ak nakupujete prostredníctvom našich odkazov, môžeme získať províziu.

Hackeri preukázali, že sú schopní obísť zabezpečenie Windows Hello pomocou falošnej USB kamery, ktorá prenášala zachytené infračervené snímky cieľa, ktorý, ako sa zdá, Windows Hello celkom rád akceptuje.

Zdá sa, že problémom je ochota Windows Hello akceptovať akúkoľvek kameru kompatibilnú s IR ako kameru Windows Hello, čo umožňuje hackerom ponúkať počítaču skôr manipulované ako skutočné údaje.

Okrem toho sa ukázalo, že hackeri musia do počítača poslať iba dva snímky – jeden skutočný IR zachytenie cieľa a jeden prázdny čierny rámec. Zdá sa, že druhý rámec je potrebný na oklamanie testov životnosti Windows Hello.

CyberArk Labs hovorí, že IR obraz možno zachytiť špeciálnymi IR kamerami s dlhým dosahom alebo kamerami umiestnenými tajne v prostredí cieľa, ako je napríklad výťah.

Microsoft rozpoznal zraniteľnosť v poradenský CVE-2021-34466 a ponúkol Windows Hello Enhanced Sign-in Security ako zmiernenie. To umožňuje, aby sa ako zdroj údajov používali iba kamery Windows Hello, ktoré sú súčasťou kryptografického reťazca dôvery od výrobcu OEM, čo je podľa CyberArk nepodporované všetkými zariadeniami.

Prečítajte si všetky podrobnosti na CyberArk tu.

Viac o témach: zabezpečenia, windows ahoj

Surur Davids

Expert na smartfóny

Surur Davids je zakladateľom WMPoweruser, ktorý sa neskôr stal MSPoweruser.com. Je to odborník na smartfóny s viac ako desaťročnými skúsenosťami.