Разрабатывая систему Windows Hello, компания Microsoft стремилась обеспечить простой и надежный способ аутентификации, одновременно решая задачу обеспечения совместимости с веб-камерами различных брендов. По последним данным, в системе есть уязвимое место, которое обнаружили исследователи из компании CyberArk, занимающейся вопросами компьютерной безопасности. Им удалось обмануть систему распознавания лиц Hello, используя изображения лица владельца компьютера.
Изображение: Nano Banana
Для Windows Hello требуется камера, работающая в видимом и инфракрасном диапазонах, но изучение работы системы позволило исследователям сделать вывод, что фактически обрабатываются только инфракрасные кадры. Чтобы проверить свой вывод, исследователи создали специальное USB-устройство, в которое загрузили инфракрасные фотографии пользователя и изображения Губки Боба в формате RGB. Система распознала устройство как USB-камеру и разблокировалась. Более того, достаточно оказалось одного изображения, сделанного в инфракрасном диапазоне, и полностью черного кадра.
Конечно, в реальности взломать чей-то компьютер с помощью этой техники было бы не так уж просто, поскольку злоумышленнику нужна ИК-фотография пользователя. И хотя при необходимости ее все-таки можно заполучить, сейчас это уже неважно при условии своевременной установки обновлений: 13 июля компания Microsoft выпустила «заплатку» для Windows 10, устраняющую описанную уязвимость.