3D科技网3D科技网

3D科技网
提供IT业界的新鲜事、奇趣事和热门焦点,掌控最热最新的互联网新闻、科技新闻和IT业界动态。
3D科技网

可以使用假USB摄像头绕过WindowsHello

智能手机在笔记本电脑甚至台式机上变得更加普遍之前,就一直在使用指纹和面部等生物识别身份验证。Microsoft 的 Windows Hello 框架试图为其桌面平台带来相同的便利性和安全性组合,并且在大多数情况下,它似乎运行良好。然而,新的安全研究揭示了 Windows Hello 人脸识别过程中的一个致命缺陷,该缺陷可以使用定制的 USB 设备绕过身份验证。幸运的是,在现实生活中利用它并不像缺陷本身那么简单。

Cyber​​Ark 的安全研究人员经历的过程掩盖了欺骗 Windows Hello 或至少其面部识别系统是多么容易。Windows 要求 PC 具有带有 RGB 和 IR 传感器的摄像头,以便 Windows Hello 人脸识别工作。然而,事实证明,实际上只有来自 IR 传感器的数据对于绕过 Windows 的安全性至关重要。

研究人员利用恩智浦评估板开发了一款 USB 设备,该设备将自己展示为带有 RGB 和红外传感器的 USB 摄像头。然而,实际上,该设备只是发送了预制的图像帧:一些真实所有者的 IR 帧和一些 Spongebob 的 RGB 帧。经过多次测试,研究人员发现他们真的只需要一个 IR 框架和一个纯黑色的 RGB 框架来欺骗 Windows Hello。

据 Cyber​​Ark 称,该漏洞的存在是因为 Windows Hello 允许外部设备充当生物识别身份验证的数据源。一方面,它别无选择,只能这样做,因为并非所有 Windows PC 都具有内置摄像头或指纹传感器。另一方面,研究证明,它也是本应万无一失的安全系统中最薄弱的环节。

幸运的是,这并不是一个等待发生的恐怖故事。为了让攻击者利用这个弱点,他们需要获得目标面部的红外图像,这绝非易事。他们还需要对台式机或笔记本电脑进行物理访问,并且在那时,无论如何都可能有其他方式进入系统。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。

相关推荐