ADVERTISEMENT
Windows Hello,相信大家都不陌生。
它一度被稱為「最簡單的登錄方式」——刷個臉,電腦馬上就可以解鎖。
但就在最近,它卻被曝出了一個大bug:只需外接一個USB攝影鏡頭,2格圖像。然後「啪的一下」,就進來了……
Windows Hello最近不太好
人臉解鎖,近幾年可以說是越發的普及。
像蘋果的iPhone和iPad,就可以利用內建的前置鏡頭來解鎖。
但Windows電腦的人臉辨識解鎖,不僅可以用內建前鏡頭,也可以使用USB的Webcam。於是,這一點就成功引起了安全公司CyberArk一名研究員的注意。
他認為:
老式的USB Webcam,在收集和傳輸數據過程中,安全性是較差的。
目前市場上很多臉部解鎖,利用的都是RGB人臉解鎖方法。
但USB Webcam除了有RGB感測器之外,還擁有紅外線感測器。
於是這名研究員開始研究Windows Hello的運作方式,結果「不看不知道,一看嚇一跳」。
他驚奇地發現:
Windows Hello甚至不看RGB數據。
什麼意思?
駭客只需向PC發送兩格圖像,就可以直接騙過你的Windows Hello。
其中一格影像是目標的真實紅外線捕捉數據,而另一格是空白黑畫面。
第二格影像是用來欺騙WindowsHello的有效性驗證的。
操作可以說是相當簡單了。
外接一個USBUSB Webcam,傳送一個圖像,Windows Hello就會誤以為「哦!主人出現了」……
對此,這名研究員做出瞭如下解釋:
我們試圖去找人臉辨識中最脆弱的環節,以及看看什麼方法是最有意思、最容易的。
我們創建了一個完整的Windows Hello臉部辨識流圖,發現「駭掉」它最簡單的方法,就是假裝一個鏡頭。
這是因為整個系統都依賴於它的輸入。
微軟回應:已出修補程式
這種破解方式,聽上去確實有些簡單可行了。
於是,微軟這邊也立即作出了回應:
這是Windows Hello安全功能的繞過漏洞(bypass vulnerability)。
並且在本月的13日,已經發布了修補程式來解決這一問題。
但是CyberArk公司對使用者還是做出了這樣的建議:
建議採用增強後的Windows Hello登錄方式。
這種方式是採用了微軟「基於虛擬化的安全」,來對Windows Hello 的臉部資料加密。
而且這些數據是在內存保護區被處理的,這樣一來,數據就不會被篡改了。
那麼接下來的一個問題是,CyberArk為什麼要選擇攻擊Windows Hello?
對此,公司的解釋如下:
從行業角度來看,研究人員對PIN破解和欺騙指紋感測器等方式,已經做過大量的研究工作了。
其次,Windows Hello所涵蓋的使用者數量可以說是相當龐大了。
據微軟去年5月的數據,這個服務擁有超過1.5億使用者;而去年12月,微軟更是表示:
84.7%的Windows 10使用者,使用Windows Hello登錄。
但或許你更關心的一點是,自己是否會受到影響。
就目前來看,這方面的擔憂也是大可不必了。
因為這種攻擊方法只是聽起來簡單,但對於不是駭客出身的人來說,實現起來還是有困難的。
包括網友們也留言道:
是很酷的一種方法,但普通使用者無需擔心。
最後,這位研究員表示:
這種攻擊方式我們早就知道了,對於微軟還是挺失望的。
他們對攝影鏡頭的安全性、可信度,沒有做更嚴格的要求。
參考鏈接:
ADVERTISEMENT