網絡安全研究公司賽伯拉族Labs揭示了其最新實驗的數據,重點是Windows Hello Biometrics-Power系統的成功欺騙嘗試。
描述一個發現博客文章賽伯拉克說,它已經在Windows Hello中發現了一個新的設計缺陷,這可能會允許攻擊者完全繞過該平台的面部識別能力。
據報導,這次攻擊是通過定制的USB攝像頭注入目標的臉部照片來工作的。
相機連接到計算機後,將偽造的圖像注入了身份驗證的主機,該主機“相信”設備是其主相機,並且照片中包含的照片是實時圖像。
通過此過程,圍網研究人員能夠解決Windows Hello完全完全檢查面部生物特徵檢查。
Cyberark在博客文章中寫道,儘管對Windows Hello進行了業務系統的攻擊,但任何允許易用的第三方USB攝像機可以充當生物識別傳感器的平台可能會易於此攻擊。
帖子寫道:“這種漏洞的核心是Windows Hello允許外部數據源,可以被操縱,這是信任的根源。”
調查結果還表明任何USB設備都可以克隆,可能冒充任何其他USB設備。
“通過設備提供的描述符識別USB設備是造成這種情況的主要原因。OS無法驗證該設備的真實性,至少不是根據USB規範。”
但是,網絡安全公司還澄清說,並非所有USB設備輸入都會導致安全風險。
“答案在於輸入本身。例如,鍵盤輸入只有在輸入信息到系統中輸入的人,而相機輸入則不知道。”
發布新發現後,微軟已發布緩解文件7月13日,試圖修補Windows Hello漏洞。
這項研究的結果將由Cyberark在2021年8月4日至5日的Black Hat 2021 Web會議上討論。
賽伯拉族也有最近添加了新的數字身份解決方案到AWS市場。
