Windows Hello można oszukać. Zabezpieczenia biometryczne są łatwe do złamania

Luka opisana jako CVE-2021-34466 została wykryta przez specjalistów z CyberArk Labs. Zgodnie z doniesieniami Threat Post, możliwe było jej wykorzystanie do oszukania systemów rozpoznawania twarzy, szczególnie, gdy użytkownik wykorzystywał do weryfikacji kamerę podłączaną na USB.

Windows Hello jest popularną funkcją w systemie Windows 10. Za jej pomocą użytkownik może dokonać uwierzytelnienia się bez hasła przy tożsamości biometrycznej. W tym celu używa się odcisku palca lub rozpoznawania twarzy aby uzyskać dostęp do urządzenia.

Funkcja jest bardzo popularna wśród użytkowników Windowsa. Według danych Microsoftu około 85 procent użytkowników systemu korzysta z tej metody weryfikacji. Mając to na uwadze, wszelkie podatności w Windows Hello są szczególnie niebezpieczne z perspektywy użytkowników.

Threat Post powołuje się na naukowców z CyberArk Labs, według których skorzystanie z luki wymaga od atakującego fizycznego dostępu do urządzenia. Dopiero wtedy haker zyskuje możliwość manipulacji procesem uwierzytelniania. 

Badacz cyberbezpieczeństwa w firmie CyberArk Labs, Omer Tsarfat przekazał, że przechwytując lub odtwarzając zdjęcie twarzy celu, a następnie podłączając wykonane na zamówienie urządzenie USB, aby przesłać sfałszowane obrazy celem uwierzytelniającego, oszust może zalogować się do systemu.

Co ważne, już wczoraj Microsoft załatał tę lukę, w ramach swojej wtorkowej aktualizacji. Zdaniem Tsarfata ich rozwiązanie może nie w pełni rozwiązać ten problem. Badacz sądzi, że nie wszystkie aspekty tego problemu mogły zostać załatane, dlatego użytkownicy Windows Hello powinni rozważyć czy chcą, póki co, korzystać z tego zabezpieczenia.