Windows Hello�����,相信大家都不陌生了��。
畢竟一度被稱為“最簡(jiǎn)單的登錄方式”——刷個(gè)臉���,電腦就可以立馬解鎖�����。
只需外接一個(gè)USB攝像頭�,2幀圖像。
然后“啪的一下”��,就進(jìn)來(lái)了……
Windows Hello最近不太好
人臉解鎖����,近幾年可以說(shuō)是越發(fā)的普及。
像蘋果的iPhone和iPad,就可以利用自帶的前置攝像頭來(lái)解鎖�����。
但Windows電腦的人臉識(shí)別解鎖�,不僅可以用自帶攝像頭,也可以與第三方網(wǎng)絡(luò)攝像頭一起工作���。
于是����,這一點(diǎn)就成功引起了安全公司CyberArk一名研究員的注意�。
他認(rèn)為:老式的網(wǎng)絡(luò)攝像頭,在收集和傳輸數(shù)據(jù)過(guò)程中��,安全性是比較差的�����。
目前市場(chǎng)上很多刷臉解鎖��,利用的都是RGB人臉解鎖方法�����。
但網(wǎng)絡(luò)攝像頭除了有RGB傳感器之外,還擁有紅外傳感器��。
于是這名研究員便對(duì)WindowsHello做了一番研究��。
真是“不看不知道���,一看嚇一跳”�。
他驚奇地發(fā)現(xiàn):WindowsHello甚至不看RGB數(shù)據(jù)��。
什么意思�����?
黑客只需向PC發(fā)送兩幀��,就可以直接騙過(guò)你的Windows Hello�。
其中一幀是目標(biāo)的真實(shí)紅外捕捉數(shù)據(jù)����,而另一幀是空白黑幀。
第二幀是用來(lái)欺騙WindowsHello的有效性驗(yàn)證的�����。
操作也可以說(shuō)是相當(dāng)簡(jiǎn)單了。
外接一個(gè)USB網(wǎng)絡(luò)攝像頭���,傳送一個(gè)圖像���,Windows Hello就會(huì)誤以為“哦!主人出現(xiàn)了”……
對(duì)此���,這名研究員做出了如下解釋:
我們?cè)噲D去找人臉識(shí)別中最脆弱的環(huán)節(jié)��,以及看看什么方法是最有意思���、最容易的。
我們創(chuàng)建了一個(gè)完整的Windows Hello 面部識(shí)別流圖�,發(fā)現(xiàn)“黑掉”它最簡(jiǎn)單的方法,就是假裝一個(gè)攝像頭�。
這是因?yàn)檎麄€(gè)系統(tǒng)都依賴于它的輸入。
微軟回應(yīng):已出補(bǔ)丁
這種破解方式���,聽(tīng)上去確實(shí)有些簡(jiǎn)單可行了����。
于是��,微軟這邊也立即作出了回應(yīng):這是Windows Hello安全功能的繞過(guò)漏洞(bypass vulnerability)。
并且在本月的13日�����,已經(jīng)發(fā)布了補(bǔ)丁來(lái)解決這一問(wèn)題�����。
但是CyberArk公司對(duì)用戶還是做出了這樣的建議:建議采用增強(qiáng)后的Windows Hello登錄方式����。
這種方式是采用了微軟“基于虛擬化的安全”,來(lái)對(duì)Windows Hello 的面部數(shù)據(jù)進(jìn)行加密����。
而且這些數(shù)據(jù)是在內(nèi)存保護(hù)區(qū)被處理的,這樣一來(lái)�,數(shù)據(jù)就不會(huì)被篡改了。
那么接下來(lái)的一個(gè)問(wèn)題是�����,CyberArk為什么要選擇攻擊Windows Hello��?
對(duì)此����,公司的解釋如下:從行業(yè)角度來(lái)看,研究人員對(duì)PIN破解和欺騙指紋傳感器等方式����,已經(jīng)做過(guò)大量的研究工作了。
其次����,Windows Hello所涵蓋的用戶數(shù)量可以說(shuō)是相當(dāng)龐大了。
據(jù)微軟去年5月的數(shù)據(jù)�,這個(gè)服務(wù)擁有超過(guò)1.5億用戶;而去年12月��,微軟更是表示:84.7%的 Win
dows 10用戶�,使用 Windows Hello 登錄。
但或許你更關(guān)心的一點(diǎn)是����,自己是否會(huì)受到影響。
就目前來(lái)看�����,這方面的擔(dān)憂也是大可不必了����。
因?yàn)檫@種攻擊方法只是聽(tīng)起來(lái)簡(jiǎn)單�����,但對(duì)于不是黑客出身的人來(lái)說(shuō)���,實(shí)現(xiàn)起來(lái)還是有困難的。
包括網(wǎng)友們也留言道:是很酷的一種方法�����,但普通用戶無(wú)需擔(dān)心
最后��,這位研究員表態(tài)道:
這種攻擊方式我們?cè)缇椭懒?��,?duì)于微軟還是挺失望的�����。
他們對(duì)攝像頭的安全性��、可信度���,沒(méi)有做更嚴(yán)格的要求。