تجاوز المتسللون Windows Hello عن طريق خداع كاميرا الويب

[ad_1]

المصادقة البيومترية هي جزء أساسي من خطط صناعة التكنولوجيا لـ اجعل العالم بلا كلمة مرور. لكن طريقة جديدة لخداع مايكروسوفت Windows Hello يُظهر نظام التعرف على الوجه أن القليل من العبث بالأجهزة يمكن أن يخدع النظام لإلغاء القفل عندما لا ينبغي ذلك.

خدمات مثل FaceID الخاص بـ Apple جعلت مصادقة التعرف على الوجه أكثر شيوعًا في السنوات الأخيرة ، مع زيادة اعتماد Windows Hello. تسمح لك Apple فقط باستخدام FaceID مع الكاميرات المضمنة في أجهزة iPhone و iPad الحديثة ، ولا تزال غير مدعومة على أجهزة Mac على الإطلاق. ولكن نظرًا لتنوع أجهزة Windows ، تعمل ميزة Hello للتعرف على الوجه مع مجموعة من الجهات الخارجية كاميرات الويب. حيث قد يرى البعض سهولة في التبني ، على الرغم من ذلك ، رأى باحثون من شركة الأمن CyberArk الضعف المحتمل.

هذا لأنه لا يمكنك الوثوق بأي كاميرا ويب قديمة لتقديم حماية قوية لكيفية جمع البيانات ونقلها. تعمل ميزة التعرف على الوجه في Windows Hello مع كاميرات الويب التي تحتوي على مستشعر الأشعة تحت الحمراء بالإضافة إلى مستشعر RGB العادي. لكن تبين أن النظام لا ينظر حتى إلى بيانات RGB. مما يعني أنه من خلال صورة واحدة مباشرة بالأشعة تحت الحمراء لوجه الهدف وإطار أسود واحد ، وجد الباحثون أنه يمكنهم فتح جهاز الضحية المحمي بنظام Windows Hello.

من خلال التلاعب بكاميرا ويب USB لتقديم صورة يختارها المهاجم ، يمكن للباحثين خداع Windows Hello ليعتقدوا أن وجه مالك الجهاز كان موجودًا ومفتوحًا.

يقول عمر تسارفاتي ، الباحث في شركة الأمن CyberArk: “لقد حاولنا العثور على أضعف نقطة في التعرف على الوجه وما هو الأكثر إثارة للاهتمام من منظور المهاجم ، وهو الخيار الأكثر ملاءمة”. “لقد أنشأنا خريطة كاملة لتدفق التعرف على الوجه في Windows Hello ورأينا أن الأكثر ملاءمة للمهاجم هو التظاهر بالكاميرا ، لأن النظام بأكمله يعتمد على هذه المدخلات.”

تستدعي Microsoft عملية البحث “ثغرة أمنية لتجاوز ميزة أمان Windows Hello” و صدر البقع يوم الثلاثاء لمعالجة هذه القضية. بالإضافة إلى ذلك ، تقترح الشركة أن يقوم المستخدمون بتمكين “أمان تسجيل الدخول المحسن في Windows Hello” ، والذي يستخدم “الأمان المستند إلى الظاهرية” من Microsoft لتشفير بيانات وجه Windows Hello ومعالجتها في منطقة محمية من الذاكرة حيث لا يمكن العبث بها لم ترد الشركة على طلب للتعليق من WIRED حول نتائج CyberArk.

يقول Tsarfati ، الذي سيقدم النتائج الشهر المقبل في مؤتمر Black Hat الأمني ​​في لاس فيجاس ، إن فريق CyberArk اختار النظر في مصادقة التعرف على الوجه في Windows Hello على وجه الخصوص لأنه كان هناك بالفعل الكثير من الأبحاث على مستوى الصناعة تكسير رقم التعريف الشخصي و ماسح البصمات انتحال. ويضيف أن الفريق تم رسمه من خلال قاعدة مستخدمي Windows Hello الكبيرة. في مايو 2020 ، قالت شركة Microsoft إن الخدمة لديها أكثر من 150 مليون مستخدم. في ديسمبر ، الشركة مضاف أن 84.7 بالمائة من مستخدمي Windows 10 يقومون بتسجيل الدخول باستخدام Windows Hello.

بينما يبدو الأمر بسيطًا – أظهر للنظام صورتين وأنت في – لن يكون من السهل تنفيذ تجاوزات Windows Hello في الممارسة العملية. يتطلب الاختراق أن يكون لدى المهاجمين صورة جيدة بالأشعة تحت الحمراء لوجه الهدف والوصول المادي إلى أجهزتهم. لكن هذا المفهوم مهم لأن Microsoft تواصل دفع اعتماد Hello مع Windows 11. يمكن أن يتحد تنوع الأجهزة بين أجهزة Windows والحالة المؤسفة لأمن IoT لإنشاء ثغرات أمنية أخرى في كيفية قبول Windows Hello لبيانات الوجه.

يقول Tsarfati: “يمكن للمهاجم المتحمس فعلاً أن يفعل هذه الأشياء”. “كان من الرائع العمل مع Microsoft وأنتجت وسائل التخفيف ، لكن المشكلة الأعمق نفسها حول الثقة بين الكمبيوتر والكاميرا تظل قائمة.”

.

[ad_2]

Leave a Comment