微軟Windows Hello有漏洞!外接一個Webcam,幾秒鐘就可以破解你的電腦

微軟Windows Hello有漏洞!外接一個Webcam,幾秒鐘就可以破解你的電腦

ADVERTISEMENT

Windows Hello,相信大家都不陌生。

它一度被稱為「最簡單的登錄方式」——刷個臉,電腦馬上就可以解鎖。  

但就在最近,它卻被曝出了一個大bug:只需外接一個USB攝影鏡頭,2格圖像。然後「啪的一下」,就進來了……

Windows Hello最近不太好

人臉解鎖,近幾年可以說是越發的普及。

像蘋果的iPhone和iPad,就可以利用內建的前置鏡頭來解鎖。

微軟Windows Hello有漏洞!外接一個Webcam,幾秒鐘就可以破解你的電腦

但Windows電腦的人臉辨識解鎖,不僅可以用內建前鏡頭,也可以使用USB的Webcam。於是,這一點就成功引起了安全公司Cyber​​Ark一名研究員的注意。

他認為:

老式的USB Webcam,在收集和傳輸數據過程中,安全性是較差的。

目前市場上很多臉部解鎖,利用的都是RGB人臉解鎖方法。

但USB Webcam除了有RGB感測器之外,還擁有紅外線感測器。

於是這名研究員開始研究Windows Hello的運作方式,結果「不看不知道,一看嚇一跳」。

他驚奇地發現:

Windows Hello甚至不看RGB數據。

什麼意思?

駭客只需向PC發送兩格圖像,就可以直接騙過你的Windows Hello。

其中一格影像是目標的真實紅外線捕捉數據,而另一格是空白黑畫面。

第二格影像是用來欺騙WindowsHello的有效性驗證的。

操作可以說是相當簡單了。

外接一個USBUSB Webcam,傳送一個圖像,Windows Hello就會誤以為「哦!主人出現了」……

對此,這名研究員做出瞭如下解釋:

我們試圖去找人臉辨識中最脆弱的環節,以及看看什麼方法是最有意思、最容易的。
我們創建了一個完整的Windows Hello臉部辨識流圖,發現「駭掉」它最簡單的方法,就是假裝一個鏡頭。
這是因為整個系統都依賴於它的輸入。

微軟回應:已出修補程式

這種破解方式,聽上去確實有些簡單可行了。

於是,微軟這邊也立即作出了回應:

這是Windows Hello安全功能的繞過漏洞(bypass vulnerability)。

並且在本月的13日,已經發布了修補程式來解決這一問題。

微軟Windows Hello有漏洞!外接一個Webcam,幾秒鐘就可以破解你的電腦

但是Cyber​​Ark公司對使用者還是做出了這樣的建議:

建議採用增強後的Windows Hello登錄方式。

這種方式是採用了微軟「基於虛擬化的安全」,來對Windows Hello 的臉部資料加密。

而且這些數據是在內存保護區被處理的,這樣一來,數據就不會被篡改了。

那麼接下來的一個問題是,Cyber​​Ark為什麼要選擇攻擊Windows Hello?

對此,公司的解釋如下:

從行業角度來看,研究人員對PIN破解和欺騙指紋感測器等方式,已經做過大量的研究工作了。
 

其次,Windows Hello所涵蓋的使用者數量可以說是相當龐大了。

據微軟去年5月的數據,這個服務擁有超過1.5億使用者;而去年12月,微軟更是表示:

84.7%的Windows 10使用者,使用Windows Hello登錄。

但或許你更關心的一點是,自己是否會受到影響。

就目前來看,這方面的擔憂也是大可不必了。

因為這種攻擊方法只是聽起來簡單,但對於不是駭客出身的人來說,實現起來還是有困難的。

包括網友們也留言道:

是很酷的一種方法,但普通使用者無需擔心。

最後,這位研究員表示:

這種攻擊方式我們早就知道了,對於微軟還是挺失望的。
他們對攝影鏡頭的安全性、可信度,沒有做更嚴格的要求。

參考鏈接:

  1. Hackers Got Past Windows Hello by Tricking a Webcam
  2. Bypassing Windows Hello Without Masks or Plastic Surgery
  3. https://www. reddit.com/r/windows/co mments/omwsm0/hackers_got_past_windows_hello_by_tricking_a/
  4. https:// msrc.microsoft.com/upda te-guide/en-US/vulnerability/CVE-2021-34466
Qbitai
作者

量子位(Qbitai)專注於人工智慧及前沿科技領域,提供技術研發趨勢、科技企業動態、新創公司報道等最新資訊,以及機器學習入門資源、電腦科學最新研究論文、開源程式碼和工具的相關報導。

使用 Facebook 留言
小克
1.  小克 (發表於 2021年7月21日 11:25)
撰寫者自己有讀過這篇嗎?有夠不通順...
各種用語還很機器翻譯感

還各種中國用語是怎麼回事
「創建」、「依賴」、「數據」、「內存」、「行業角度」

唉... 曾經認為最深入嚴謹的電腦王雜誌欸
發表回應
謹慎發言,尊重彼此。按此展開留言規則