Windows Hello: Αρκετές δημοσιεύσεις αναφέρουν ότι το χαρακτηριστικό αναγνώρισης προσώπου των Windows 10 είναι από τα πιο ασφαλή που κυκλοφορούν.
Όμως αποδεικνύεται ότι το Windows Hello, μπορεί να παραπλανηθεί με μια απλή φωτογραφία, όπως ακριβώς και το Face ID της Apple.
Η ευπάθεια ανακοινώθηκε από την Γερμανική εταιρεία ασφαλείας Syss στο Full Disclosure.
Σύμφωνα με τους ερευνητές, ακόμα κι αν έχετε εγκαταστήσει όλες τις τελευταίες ενημερώσεις για τα builds 1703 ή 1709, η αναγνώριση προσώπου θα πρέπει να ρυθμιστεί από την αρχή για να είναι ανθεκτική στην επίθεση.
Οι “απλές επιθέσεις spoofing” που περιγράφονται στην ανακοίνωση των ερευνητών είναι όλες παραλλαγές με την χρήση μιας “τροποποιημένης φωτογραφίας ενός εξουσιοδοτημένου χρήστη.” Έτσι με μια απλή φωτογραφία ένας εισβολέας μπορεί να εισέλθει σε ένα κλειδωμένο σύστημα Windows 10.
Το προεπιλεγμένο config του Windows Hello έχει ενεργοποιημένη τη λειτουργία “enhanced anti-spoofing”, αναφέρει η Syss.
“Εάν είναι ενεργοποιημένη η λειτουργία “enhanced anti-spoofing “, ανάλογα με την έκδοση των Windows 10, θα πρέπει να χρησιμοποιηθεί μια ελαφρώς διαφορετική τροποποιημένη φωτογραφία, αλλά για κάποιον εισβολέα η προσπάθεια είναι αμελητέα.
Οι ερευνητές δοκίμασαν την επίθεση σε ένα Dell Latitude που τρέχει με Windows 10 Pro (build 1703), αλλά και σε ένα Microsoft Surface Pro 4 που τρέχει με Windows στο build 1607.
Οι ερευνητές προσπάθησαν να αλλάξουν τη ρύθμιση του Surface Pro σε “enhanced anti-spoofing”, αλλά ισχυρίζονται ότι η κάμερα “LilBit USB IR υποστηρίζει μόνο την προεπιλεγμένη ρύθμιση και δεν μπορεί να χρησιμοποιηθεί με πιο ασφαλείς ρυθμίσεις αναγνώρισης προσώπου”.
Οι ερευνητές κυκλοφόρησαν τα τρία παρακάτω βίντεο σαν PoC: