Windows Hello se dá obejít falešnou USB kamerou

Windows Hello se dá obejít falešnou USB kamerou
Fotografie: CyberArk
  • Falešné zařízení posílá namísto obrazu z IR kamery dříve získaný snímek
  • Je ale potřeba získat fyzický přístup k počítači

Biometrické zabezpečení pomocí otisků prstů nebo rysů obličeje je v mobilech standardní zabezpečení. U notebooků nebo stolních počítačů se stále jedná o poměrně nezvyklou výbavu. Nejčastěji však laptopy s Windows spoléhají na kameru, která vedle obrazu snímá i infračervené spektrum. Po kombinaci obou vstupů je Windows Hello schopno ověřit identitu uživatele podle obličeje. Výzkumníci z CyberArk však dokázali, že v návrhu tohoto systému je chyba, kterou lze zneužít. Ta spočívá v otevřenosti Windows novému hardwaru. Protože ne všechny počítače mají IR kameru vestavěnou, Windows akceptují i data z externích zařízení.

CyberArk

Útočníkovi tak stačí sestrojit zařízení, které bude předstírat, že je IR kamera, zatímco bude Windows posílat připravené obrázky namísto těch skutečných. V tomto případě je to jinak získaný infračervený snímek obličeje skutečného majitele počítače. Windows Hello jej pak akceptuje bez ohledu na obraz z běžné kamery.

Jakkoli je chyba jednoduchá, s jejím praktickým využitím už to tak snadné nebude. V první řadě je potřeba nějakým nenápadným způsobem získat IR snímky obličeje, další nezbytná podmínka pak spočívá k získání fyzického přístupu k zařízení, které chcete takto odemknout. Pokud se však útočník dostane tak daleko, že má v držení samotný počítač, pak existuje mnoho jiných a jednodušších způsobů, jak se dostat k požadovaným datům.

Související články
Diskuze ke článku
V diskuzi zatím nejsou žádné příspěvky. Přidejte svůj názor jako první.
Přidat názor

Nejživější diskuze