IT之家 7 月 19 日消息 智能手機(jī)很早前就已經(jīng)用上生物識(shí)別認(rèn)證，如指紋和人臉，這些功能在筆記本電腦甚至臺(tái)式機(jī)上也變得越來(lái)越普遍。

微軟的 Windows Hello 系統(tǒng)試圖為其桌面平臺(tái)帶來(lái)同樣的便利和安全組合，而且在大多數(shù)情況下表現(xiàn)出色。然而，新的安全研究顯示，Windows Hello 的人臉識(shí)別過(guò)程中有一個(gè)致命的漏洞，那就是可以通過(guò)使用定制的 USB 設(shè)備繞過(guò)認(rèn)證。幸運(yùn)的是，在現(xiàn)實(shí)生活中要想利用這一漏洞并沒(méi)有那么簡(jiǎn)單。

CyberArk 的安全研究人員發(fā)現(xiàn)，要想愚弄 Windows Hello 系統(tǒng)非常簡(jiǎn)單，或者至少是其面部識(shí)別系統(tǒng)。Windows 要求個(gè)人電腦有一個(gè)帶有 RGB 和紅外傳感器的攝像頭，以便 Windows Hello 面部識(shí)別系統(tǒng)能夠工作。然而，事實(shí)證明，只有紅外傳感器的數(shù)據(jù)才是繞過(guò) Windows 安全系統(tǒng)的關(guān)鍵。

IT之家了解到，研究人員使用恩智浦的評(píng)估板開(kāi)發(fā)了一個(gè) USB 設(shè)備，將自己顯示為一個(gè)帶有 RGB 和紅外傳感器的 USB 攝像頭。但實(shí)際上，該設(shè)備只是發(fā)送預(yù)制的圖像幀：一些真實(shí)主人的紅外幀和一些海綿寶寶的 RGB 幀。經(jīng)過(guò)幾次測(cè)試，研究人員發(fā)現(xiàn)，他們真的只需要一個(gè)紅外幀和一個(gè)普通的黑色 RGB 幀來(lái)欺騙 Windows Hello。

據(jù) CyberArk 稱(chēng)，該漏洞的存在是因?yàn)?Windows Hello 允許外部設(shè)備作為生物識(shí)別認(rèn)證的數(shù)據(jù)源。一方面，微軟別無(wú)選擇，因?yàn)椴⒎撬械?Windows PC 都有內(nèi)置的攝像頭或指紋傳感器。另一方面，研究證明，它也是本應(yīng)是萬(wàn)無(wú)一失的安全系統(tǒng)中最薄弱的環(huán)節(jié)。

幸運(yùn)的是，要想利用這個(gè)漏洞，攻擊者需要獲得目標(biāo)臉部的紅外圖像，而這并不容易。此外，他們還需要對(duì)臺(tái)式機(jī)或筆記本電腦進(jìn)行物理接觸。

微軟這邊也作出了回應(yīng)，稱(chēng)這是 Windows Hello 安全功能的繞過(guò)漏洞（bypass vulnerability），并且在本月的 13 日已經(jīng)發(fā)布了補(bǔ)丁來(lái)解決這一問(wèn)題。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。