Систему аутентификации Microsoft Windows Hello обманули с помощью ИК-фото лица пользователя

Биометрическая аутентификация является одним из элементов технологической индустрии, позволяющим отказаться от привычных паролей. Однако новая система распознавания лиц Windows Hello от Microsoft была обманута специалистами компании CyberArk при помощи фотографии пользователя компьютера.

Windows Hello требует использования камер как с RGB, так и с инфракрасными датчиками, но при исследовании системы аутентификации исследователи обнаружили, что система обрабатывает только инфракрасные кадры. Для обхода системы безопасности представители CyberArk создали USB-устройство с помощью веб-камеры и загрузили в него заранее выполненную в инфракрасном диапазоне фотографию пользователя и сторонние изображения в формате RGB. Система Hello распознала устройство как USB-камеру, и оно было успешно разблокировано только с помощью фотографии пользователя в ИК диапазоне.

По информации, предоставленной представителями Microsoft, данная уязвимость уже ликвидирована и всем пользователям, применяющим биометрическую аутентификацию, следует обновить систему Windows Hello. Выявившие уязвимость эксперты CyberArk также заявили, что такой метод взлома достаточно трудоемкий, так как злоумышленнику требуется фотография пользователя в инфракрасном диапазоне.

Ранее компания Microsoft рассказала, что услугами Windows Hello пользуется свыше 150 млн пользователей. аналитики компании отмечают, что 84,7% всех владельцев компьютеров работающих под Windows, имеющих камеры, применяют биометрическую аутентификацию по лицу.