Biometrické zabezpečení pomocí otisků prstů nebo rysů obličeje je v mobilech standardní zabezpečení. U notebooků nebo stolních počítačů se stále jedná o poměrně nezvyklou výbavu. Nejčastěji však laptopy s Windows spoléhají na kameru, která vedle obrazu snímá i infračervené spektrum. Po kombinaci obou vstupů je Windows Hello schopno ověřit identitu uživatele podle obličeje. Výzkumníci z CyberArk však dokázali, že v návrhu tohoto systému je chyba, kterou lze zneužít. Ta spočívá v otevřenosti Windows novému hardwaru. Protože ne všechny počítače mají IR kameru vestavěnou, Windows akceptují i data z externích zařízení.
Útočníkovi tak stačí sestrojit zařízení, které bude předstírat, že je IR kamera, zatímco bude Windows posílat připravené obrázky namísto těch skutečných. V tomto případě je to jinak získaný infračervený snímek obličeje skutečného majitele počítače. Windows Hello jej pak akceptuje bez ohledu na obraz z běžné kamery.
Jakkoli je chyba jednoduchá, s jejím praktickým využitím už to tak snadné nebude. V první řadě je potřeba nějakým nenápadným způsobem získat IR snímky obličeje, další nezbytná podmínka pak spočívá k získání fyzického přístupu k zařízení, které chcete takto odemknout. Pokud se však útočník dostane tak daleko, že má v držení samotný počítač, pak existuje mnoho jiných a jednodušších způsobů, jak se dostat k požadovaným datům.
