Hackerroom

Hackere kom udenom Windows ”Hello” ved at narre et webcam

BIOMETRISK AUTENTIFICERING er tech industriens planer om at gøre verdenen mere password fri, men en ny metode til duping Microsofts Windows Hello ansigtsgenkendelse system viser, at lidt hardware roderi kan narre systemet til at låse op, når det ikke burde.

Tjenester som Apples FaceID har gjort godkendelse af ansigtsgenkendelse mere almindelig i de senere år. Apple giver dig kun mulighed for at bruge FaceID med kameraerne indlejret i de seneste iPhones og iPads og det understøttes stadig slet ikke på Mac, men Windows Hello kører endnu længere. Her gemmer sig en potentiel sårbarhed.

Det skyldes, at du ikke kan stole på, at et gammelt webcam tilbyder god beskyttelse af, hvordan det indsamler og overfører data. Windows Hello ansigtsgenkendelse fungerer kun med webkameraer, der har en infrarød sensor ud over den almindelige RGB sensor. Men systemet, viser det sig, ser ikke engang på RGB data. Ifølge nyhedsmagasinet Wired betyder det, at man med et lige-på infrarødt billede af et måls ansigt og en sort ramme kan låse offerets Windows Hello-beskyttede enhed op.

Ved at manipulere et USB-webcam til at levere et hackervalgt billede kunne nogle forskere narre Windows Hello til at tro, at enhedsejerens ansigt var til stede under oplåsning.

Microsoft kalder det at finde en “Windows Hello sikkerhed funktion bypass sårbarhed” og har udgivet patches for at løse problemet. Derudover foreslår virksomheden, at brugerne aktiverer “Windows Hello forbedret logonsikkerhed”, som bruger Microsofts “virtualiseringsbaserede sikkerhed” til at kryptere Windows Hello-ansigtsdata og behandle dem i et beskyttet hukommelsesområde, hvor det ikke kan ændres.

Selvom det lyder enkelt – vis systemet to billeder, og du er med – ville disse Windows Hello-omfartsveje ikke være lette at udføre i praksis. Hacket kræver, at angribere har et infrarødt billede af målets ansigt af god kvalitet og har fysisk adgang til deres enhed. Hardwarediversitet mellem Windows-enheder og tilstanden af IoT-sikkerhed kan kombineres for at skabe andre sårbarheder i, hvordan Windows Hello accepterer ansigtsdata.

Der er forskellige måder at tage og behandle billeder til ansigtsgenkendelse. Apples FaceID fungerer for eksempel kun med virksomhedens proprietære TrueDepth-kamerasystemer, et infrarødt kamera kombineret med en række andre sensorer. Apple er dog i stand til at kontrollere både hardware og software på sine enheder på en måde, som Microsoft ikke er til Windows-økosystemet. Windows Hello face-konfigurationsløsningerne siger blot “Log på med pc’ens infrarøde kamera eller et eksternt infrarødt kamera”.

Marc Rogers, en mangeårig biometrisk-sensor sikkerhed forsker og vice president for cybersikkerhed på den digitale identitet administrationsselskab OKTA, siger, at Microsoft bør gøre det meget klart for brugerne, hvilke tredjeparts webcams er certificeret som tilbyder robust beskyttelse til Windows Hello. Brugere kan stadig beslutte, om de vil købe et af disse produkter i forhold til et gammelt infrarødt webcam, men specifikke retningslinjer og anbefalinger vil hjælpe folk med at forstå mulighederne.

Yderligere nævner Marc Rogers at dette passer ind i en bredere kategori af hacks kendt som “downgrade attacks”, hvor en enhed narres til at stole på en mindre sikker tilstand – som et ondsindet mobiltelefontårn, der tvinger din telefon til at bruge 3G-mobildata med sine svagere forsvar i stedet for 4G. Et angreb der ligeledes får Windows Hello til at acceptere statiske, forudindspillede ansigtsdata, bruger den samme forudsætning, og dermed narre ansigtsgenkendelse.

Scroll til toppen