Badacze obeszli zabezpieczenie systemu Windows zdjęciem

Microsoft na początku tego miesiąca opublikował ważną aktualizację dla Windows Hello – systemu, który rozpoznaje twarz użytkownika, pozwalając mu np. zalogować się w szybki i wygodny sposób, bez konieczności wpisywania hasła. Okazuje się, że istnieje możliwość oszukania Windows Hello i to zwykłym zdjęciem o niskiej rozdzielczości.

Co prawda na rynku nie ma wielu urządzeń, które są wyposażone w czujnik bliskiej podczerwieni, wymagany do działania przez Windows Hello, niemniej dla osób używających tego rozwiązania (najczęściej są to posiadacze laptopów i tabletów), możliwość obejścia tej formy zabezpieczenia przez osoby trzecie jest sporym problemem.

W opublikowanym kilka dni temu raporcie[1], niemiecka firma SySS GmbH odkryła, że Windows Hello jest podatne na atak przy pomocy wydrukowanego zdjęcia twarzy i to na zwykłej drukarce, jaką wiele osób posiada w domu. Dodatkowo zdjęcie nie było szczegółowe, wręcz odwrotnie. Jego rozdzielczość wynosiła 340×340 pikseli. Jedynym szczegółem, który pozwolił na oszukanie systemu było zmodyfikowanie kolorystyki do widma bliskiej podczerwieni (co widać na załączonym poniżej filmie). Atak działał nawet po włączeniu dodatkowego zabezpieczenia (antispoofing) w ustawieniach systemu. W tym wypadku trzeba było jednak nieco podnieść rozdzielczość zdjęcia do 480×480 pikseli.

Osoby, które korzystają z tej metody logowania do systemu powinny jak najszybciej zaisntalować aktualizację bezpieczeństwa.

[1] https://www.bleepingcomputer.com/news/microsoft/windows-10-facial-recognition-feature-can-be-bypassed-with-a-photo/