محققان با عکس سیستم احراز هویت ویندوز Hello مایکروسافت را فریب دادند
مایکروسافت سیستم امنیتی و احراز هویت ویندوز Hello را به گونهای طراحی کرده تا با وبکمهای برندهای مختلف سازگار باشد. با این حال ظاهرا چنین رویکردی باعث شده که این سیستم در برابر حملات آسیبپذیر باشد، چرا که محققان امنیتی توانستهاند آن را فریب دهند.
محققان شرکت امنیتی «CyberArk» موفق شدهاند با استفاده از تصاویر چهره صاحب کامپیوتر، این سیستم تشخیص چهره مایکروسافت را دور بزنند.
ویندوز Hello به دوربینها با سنسورهای اینفرارد (IR) و RGB نیاز دارد، با این وجود محققان در بررسیها به این موضوع پی بردند که این سیستم ردموندیها تنها فریمهای اینفرارد را پردازش میکند. کارشناسان برای تایید یافتهشان یک دستگاه USB اختصاصی ایجاد کردند که شامل تصاویر مادون قرمز صاحب دستگاه و همچنین تصاویر RGB شخصیت «باب اسفنجی» میشد.
ویندوز Hello این دستگاه را به عنوان دوربین USB تشخیص دارد و سیستم تنها توسط تصاویر مادون قرمز صاحب کامپیوتر آنلاک شد. در ادامه محققان به این موضوع پی بردند که برای فریب سیستم مایکروسافت، به چندین تصویر IR هم نیاز ندارند و یک فریم IR تکی به همراه یک فریم مشکی رنگ هم میتواند کامپیوتر محافظت شده توسط Hello را آنلاک کند.
استفاده از روش محققان برای دسترسی به کامپیوتر کاربران کاری بسیار دشوار در دنیای واقعی است، چرا که مهاجم همچنان به یک تصویر IR از صاحب دستگاه نیاز دارد. با این وجود، همچنان با یک ضعف در سیستم ویندوز Hello مایکروسافت روبهرو هستیم که سوءاستفاده از آن غیرممکن نیست.
شرکتهای فناوری برای اینکه کاربران بدون مشکلی به سیستم امنیتی آنها اعتماد کنند، باید هرگونه ضعف و آسیبپذیری آن را شناسایی کنند تا در آینده فردی به مشکل برنخورد. کاربران حالا بیش از هر زمان دیگری بجای پسورد به سراغ سیستمهای بیومتریک میروند، بنابراین امنیت آنها اهمیت بالایی دارد.
مایکروسافت اعلام کرده که پچ مربوط به این مشکل را با نام «آسیبپذیری دور زدن ویژگی امنیتی Hello» منتشر کرده. ردموندیها همچنین گفتهاند که کاربران به سراغ گزینه «افزایش امنیت ورود با ویندوز Hello» بروند تا دادههای مربوط به چهره رمزگذاری شوند و در محیط امنی هم قرار بگیرند.