Биометрическая аутентификация является ключевой частью планов технологической индустрии по созданию мира без паролей. Но новый метод обмана системы распознавания лиц Windows Hello от Microsoft показывает, что небольшая аппаратная манипуляция может заставить систему разблокироваться, когда этого не должно быть.
Такие сервисы, как FaceID от Apple, в последние годы сделали аутентификацию по распознаванию лиц более распространенной, а внедрение Windows Hello продвинулось еще дальше. Apple позволяет использовать FaceID только с камерами, встроенными в последние iPhone и iPad, и он по-прежнему вообще не поддерживается на компьютерах Mac. Но поскольку аппаратное обеспечение Windows настолько разнообразно, распознавание лиц Hello работает с множеством сторонних веб-камер. Однако там, где некоторые могли бы увидеть легкость принятия, исследователи из охранной фирмы CyberArk увидели потенциальную уязвимость.
Это потому, что вы не можете доверять какой-либо старой веб-камере, которая обеспечивает надежную защиту при сборе и передаче данных. Распознавание лиц Windows Hello работает только с веб-камерами, имеющими инфракрасное излучение.
“Мы попытались найти самое слабое место в распознавании лиц и то, что было бы наиболее интересным с точки зрения злоумышленника, наиболее доступным вариантом”, - говорит Омер Царфати, исследователь из охранной фирмы CyberArk. “Мы создали полную карту процесса распознавания лиц Windows Hello и увидели, что наиболее удобным для злоумышленника было бы притвориться камерой, потому что вся система полагается на этот ввод”.
Microsoft называет обнаружение “уязвимостью обхода функций безопасности Windows Hello” и выпустила исправления во вторник для решения этой проблемы. Кроме того, компания предлагает пользователям включить "повышенную безопасность входа в Windows Hello”, которая использует “безопасность на основе виртуализации” Microsoft для шифрования данных Windows Hello и обработки их в защищенной области памяти, где они не могут быть изменены. Компания не ответила на запрос WIRED о комментариях по поводу выводов CyberArk.
“Действительно мотивированный злоумышленник мог бы сделать такие вещи”, - говорит Царфати. “Microsoft была рада работать с нами и способствовала смягчению последствий, но более глубокая проблема, связанная с доверием между компьютером и камерой, остается”.
Существуют различные способы получения и обработки изображений для распознавания лиц. Например, FaceID Apple работает только с фирменными массивами камер TrueDepth компании, инфракрасной камерой в сочетании с рядом других датчиков. Но Apple в состоянии контролировать как аппаратное, так и программное обеспечение на своих устройствах таким образом, что Microsoft не подходит для экосистемы Windows. Информация о настройке Windows Hello для лица просто гласит: “Войдите в систему с помощью инфракрасной камеры вашего компьютера или внешней инфракрасной камеры”.
Марк Роджерс, давний исследователь безопасности биометрических датчиков и вице-президент по кибербезопасности в компании по управлению цифровыми удостоверениями Okta, говорит, что Microsoft должна четко разъяснить пользователям, какие сторонние веб-камеры сертифицированы как обеспечивающие надежную защиту.