仍然可以在Microsoft的Windows 10 Hello Adentication應用程序中偽造面部生物測量鎖。
所謂的傳球攻擊,首先確定由上個月的Cyberark Labs撰寫,使未經授權的人訪問Microsoft的Azure資源,其中包括365個資產,而無需攻擊者看起來像目標。
根據Cyberark研究人員Omer Tsarfati的說法,它還可以通過允許外部數據來源收集生物識別數據來訪問本地資產。
在帖子中,tsarfati寫信截至8月4日,微軟擁有採取步驟使利用的可能性降低。他同意機會縮小了,但剝削仍然是可能的。
這樣做是一個繁瑣的多步驟過程,這可能意味著攻擊者或其設備必須在身體上與一個人保持親密關係。這只是意味著攻擊者的努力必須更具選擇性。
Tsarfati指出了這種利用起作用的違反直覺方式。 Windows Hello旨在識別註冊系統用戶,但是直到揭露此問題之前,Windows不需要安全的USB攝像頭。
研究人員將攝像頭克隆,並在其上放置一個目標和黑色框架的單個紅外框架。 (現在,必須將來自受信任供應商列表的攝像機與Windows Hello一起使用。)
雖然並不微不足道,但有可能獲得一個人的IR圖像。
Tsarfati還說,可以使用過濾器或機器學習算法從顏色圖像中偽造IR數據。
防止這種生物特徵敏化攻擊的唯一方法是僅使用批准被Windows設備批准的列表中的攝像機。
他的帖子帶有視頻,詳細介紹了問題和賭注。
