在智慧型手機上行之有年的指紋與人臉辨識等生物識別技術在筆記型電腦甚至桌上型電腦越來越普遍,大家也很習慣使用這些安全機制來保護自己的資料與隱私,不過任何機制都會有漏洞,安全研究人員發現方便的 Windows Hello 上面也存在可以繞過的漏洞,萬幸的是實際上要利用這個問題興風作浪還不是那麼簡單的事。
安全研究發現, Windows Hello 安全機制可以用假的 USB 相機繞過
微軟的 Windows Hello 人臉辨識技術在大多數情況下都運行得很好,加上便利又快速受到很多人愛用,CyberArk 的安全研究人員發現在它上面卻存在一個缺陷,可以讓不肖人士使用加料特製的 USB 設備繞過安全機制順利進入你的電腦中。安全人員在測試的整個過程中發現想要繞過臉部識別系統的流程並沒有想像中的困難,困難之處是在於取得目標對象臉部 IR 影像。
Windows Hello 臉部識別技術對電腦硬體要求必須配備具 RGB 和 IR 感應器的攝影機,事實證明整套機制的關鍵主要在 IR 感應器數據上,這些數據對於如何繞過 Windows 安全機制至關重要。研究人員發現問題就在 Windows Hello 可接受任何使用 IR 的鏡頭來作為 Windows Hello 的識別裝置,允許駭客以特殊的遠端 IR 攝影機或秘密放置在目標環境中的攝影機來拍攝,在識別的過程中,駭客只需要向 PC 發送一幀紅外線掃瞄與一幀空白黑幀,後者用來欺騙 Windows Hello 的即時性測試。
此編號 CVE-2021-34466 的漏洞已經受到微軟的確認,並由微軟提供 Windows Hello 增強登入安全性作為補救措施,不過這僅允許受信任的 OEM 廠商端來對相應的硬體釋出相關驅動與韌體,並不是每一個設備都是用。
◎資料來源:CyberArk
