假相機繞過 Windows Hello 身份驗證

黑客已經證明，他們能夠通過使用偽造的 USB 攝像頭來繞過 Windows Hello 安全性，該攝像頭傳輸捕獲的目標紅外照片，Windows Hello 似乎很樂意接受。

問題似乎是 Windows Hello 願意接受任何具有 IR 功能的攝像頭作為 Windows Hello 攝像頭，從而允許黑客向 PC 提供操縱而非真實的數據流。

此外，事實證明，黑客只需向 PC 發送兩幀——一個是對目標的真實紅外捕獲，另一個是空白黑幀。 似乎需要第二幀來欺騙 Windows Hello 的活性測試。

Cyber​​Ark Labs 表示，紅外圖像可以由特殊的遠程紅外攝像機或秘密放置在目標環境中的攝像機（例如電梯）捕獲。

Microsoft 已識別出該漏洞 諮詢 CVE-2021-34466 並提供了 Windows Hello 增強登錄安全性作為緩解措施。 這僅允許將作為來自 OEM 的加密信任鏈的一部分的 Windows Hello 攝像頭用作數據源，Cyber​​Ark 指出並非所有設備都支持這一點。

閱讀所有詳細信息 Cyber​​Ark在這裡。