WindowsHello是微软在Windows10系统上提供的智能生物识别系统,可以通过用户的面部、虹膜或指纹解锁Windows系统。然而,一名安全研究人员最近发现该系统的面部识别存在漏洞,可以通过假冒的USB摄像头绕过身份验证系统。安全公司赛博方舟(Cyber??Ark)的研究人员发现,WindowsHello要求设备拥有带RGB和红外传感器的摄像头,而红外传感器收集的数据是绕过WindowsHello身份验证的关键。使用开发板,研究人员制作了一个USB设备,该设备在系统中显示为带有RGB和红外传感器的USB相机。但实际上,设备只是发送预制图像帧:真实主机的一些红外帧和海绵宝宝的一些RGB帧。经过多次测试,研究人员发现只需要一个红外线框和一个纯黑色RGB框就可以骗过WindowsHello。根据Cyber??ark的说法,该漏洞的存在是因为WindowsHello允许将外部设备用作生物识别身份验证的数据源。微软在这方面别无选择,因为并非所有Windows设备都有内置摄像头或指纹传感器。好在利用这个漏洞破解Windows设备还是有难度的,因为需要获取用户真实的红外信息。
