Windows 10 používateľom vybraných zariadení ponúka špeciálny spôsob zabezpečenia účtu pomocou biometrickej autentifikácie cez funkciu Windows Hello. Tá v sebe zahŕňa natívnu podporu pre overenie používateľa pomocou odtlačku prsta alebo rozpoznávania tváre.
Práve druhá možnosť, ktorá využíva špeciálnu 3D kameru, je veľmi zaujímavá a dlhú dobu patrila v segmente zebezpečenia medzi pýchu Microsoftu, nakoľko mala byť schopná rozpoznať aj jednovaječné dvojčatá.
Výskumníkom z nemeckej spoločnosti SySS sa ale prednedávnom podarilo v systéme identifikovať slabinu, kedy funkciu rozpoznávania tváre oklamali vytlačenou fotografiou. Aby sa im to podarilo, fotografia musela spĺňať viacero kritérií.
Nachádzať sa na nej musel portrét autorizovaného používateľa zachytený v takzvanej blízkej infračervenej oblasti. Následne došlo k úprave atribútov ako kontrast a jas, a fotografia bola v nízkom rozlíšení 340 x 340, prípadne 480 x 480 pixelov vytlačená na laserovej tlačiarni.
Samotný „útok“ pritom prebiehal veľmi jednoducho – fotografia bola priložené pred kameru v zariadení, podobne, ako keby sa používateľ snažil prihlásiť pomocou svojej tváre. Práve vďaka špeciálne úprave fotografie sa funkciu podarilo podviesť a získať tak prístup k používateľskému účtu.
Výskumníci upozorňujú, že ochranu bolo týmto spôsobom možné obísť aj v prípade ak bola aktivovaná funkcia „enhanced anti-spoofing“ pre zvýšenie odolnosti voči možným útokom.
Microsoft ale medzičasom na odhalenú zraniteľnosť, zdá sa, stihol zareagovať, nakoľko podľa testov nie je prítomná vo Windows 10 verzií 1703 a 1709. Výskumníci zo spoločnosti SySS preto odporúčajú nainštalovať najnovšiu verziu systému (Fall Creators Update), aktivovať režim „enhanced anti-spoofing“ a následne opätovne nakonfigurovať prihlasovanie pomocou skenu tváre. Jedine tak vraj bude používateľ plne chránený.
Horšie je to však v prípade starších verzií Windows 10, kde je chyba nateraz naďalej prítomná a používatelia sú tak potencionálne v ohrození.
Zdroj: Zdnet