Эксперты компании CyberArk сумели обойти систему биометрической аутентификации Windows Hello, включенную во все версии Windows 10, используя инфракрасное изображение владельца устройства.

Исследователь Омер  Царфати рассказывает, что корень проблемы кроется в том, как Windows Hello обрабатывает данные с веб-камер, подключенных через USB. Хотя Windows Hello работает только с веб-камерами, у которых есть инфракрасный датчик (в дополнение к обычному RGB), оказалось, что RGB-данные системе практически не нужны. Это значит, что с помощью одного лишь инфракрасного изображения лица можно разблокировать устройство жертвы, защищенное биометрией Windows Hello.

Хотя большинство пользователей знают, что они могут использовать веб-камеру для аутентификации и распознавания лица на машине под управлением Windows 10, Царфати обнаружил, что Windows Hello поддерживает ввод с веб-камеры только с помощью инфракрасного порта. И оказалось, что проверка инфракрасного входа недостаточна или сопоставима с проверкой для обычных (RGB) камер.

В результате злоумышленник может подключить к компьютеру вредоносное устройство, имитирующее USB-камеру, а затем использовать его для передачи инфракрасного изображения лица владельца. Хотя при нормальных обстоятельствах передать статическое изображение Windows Hello нельзя, эти ограничения не работают для инфракрасного входа, и исследователь успешно обманул процесс аутентификации, получив доступ к заблокированной машине. Видеодемонстрацию атаки можно увидеть здесь.

Схема атаки

«Мы создали полную карту всего процесса распознавания лиц в Windows Hello и увидели, что наиболее удобным для злоумышленника способом будет притвориться веб-камерой, потому что вся система полагается на этот ввод», — рассказывает специалист.

Для реализации подобной атаки потребуется физический доступ к устройству, тем не менее, Microsoft устранила эту уязвимость, получившую идентификатор CVE-2021-34466 , в рамках июльского «вторника обновлений».

«На самом деле, Microsoft стоит быть осторожнее. Этот способ атаки в целом известен нам давно. Я немного разочарован из-за того, что они не ограничивают, каким камерам можно доверять», — резюмирует Царфати.

10 комментариев

  1. Аватар

    0d8bc7

    19.07.2021 в 20:39

    Как вообще можно доверять изображению с камеры? Даже «родную» камеру с ИК, наверное, можно обмануть, поставив перед ней панель, дающую определённое подвижное изображение и нагретую определённым образом в нужных местах.
    Если всё это ради удобства, то как бы безопасность с удобством очень плохо дружат, и это ни для кого не секрет.
    Хотя вообще их подружить можно. Но… Ведь требования масс таковы, что технологии должны делать всё, а пользователь — ничего, не так ли? А так может и не получиться.
    Хотя кому какое дело, пока эти массы несут деньги?)

    • Аватар

      ak545

      20.07.2021 в 18:02

      Здравствуй мой, восторженный, друг!
      Ты опять решил полить водичкой… Впрочем, не запрещается 😉


      В общем, «родную» камеру с ИК таким методом, как ты описал не обмануть.
      Алгоритм распознаёт тебя не по фото, а с помощью инфракрасных точек, которые проецируются на твоё лицо через камеру. После этого создаётся трёхмерная модель, которая сравнивается с той, что ты уже внёс ранее.

      В описанном методе взломе предполагается, что мошенник всё же имеет возможность заранее, где-то и как-то, сделать с оригинала (с тебя живого) ИК слепок лица. И впоследствии, имея на руках такой ИК слепок, предъявить его системе, через имитацию ИК камеры, которой в обычных условиях и происходит снятие ИК слепка лица, но только с живого человека. Читай внимательно, там же тебе недвусмысленно сообщили: «…а затем использовать его для передачи инфракрасного изображения лица владельца». То есть, чтобы взломать такую систему — настоящее лицо владельца всё же потребуется. Единственное, что делает описанный метод взлома — исключает необходимость наличия живого владельца при разблокировке.

      Ниже видео технологии распознавания лица при помощи ИК сканирования лица:

      ⠀https://youtu.be/g4m6StzUcOw⠀

      • Аватар

        0d8bc7

        21.07.2021 в 01:03

        Здравствуй, мой критикующий друг 🙂
        Спасибо, что объяснил)
        Ну да, это предполагает, что злоумышленнику придётся сделать модель лица. Но разве в современном мире это проблема, если есть немного денег и власти?
        Тем более, если нужно всего лишь создать 3D-модель. Сейчас камеры пихают на каждом углу, вовсю используются нейросети, время не ограничено, и даже в видео было написано, что точки невидимые, т.е. можно посветить даже этими инфракрасными точками и жертва может ничего не заметить.
        Дальше дело за малым — опять же, некоторое количество ресурсов, и вуаля.
        Посмотрев это видео, как красиво там показаны эти точки, я лишь убедился в том, что это тупо пиар.
        Если ты не понялглавного момента здесь… Защищать пользовательские данные можно ТОЛЬКО тем, что ГАРАНТИРОВАННО не может быть ПОДДЕЛАНО ни при каких обстоятельствах.
        Кстати, ведь наши с тобой споры начались с темы про Яндекс и когда я там написал про необходимость E2EE. Это не нашло твоего понимания. Так вот, сейчас я попробую написать в одном предложении кое-что, на что тебе следовало бы обратить хоть немного внимания и, надеюсь, ты это поймёшь хотя бы сейчас.
        Защита личного пространства простых людей — это серьёзно.
        Ну и вот от этого, пожалуй, я и предложу отталкиваться. Защита личных данных с помощью фигни, которую можно подделать — НЕ серьёзно. (Это ещё не считая шифрования, но в данном случае речь только о разблокировке сессии, так что ладно.)

        • Аватар

          ak545

          21.07.2021 в 13:27

          Если защита личного пространства для тебя действительно так важна, то откажись от использования того, что априори никогда не сможет обеспечить тебе такую защиту.

          #иненой

          P.S.⠀⠀https://cs4.pikabu.ru/post_img/2015/10/30/6/1446198603_1268618402.png

          • Аватар

            0d8bc7

            21.07.2021 в 17:14

            Спасибо, но я с собой как-нибудь сам разберусь)

            • Аватар

              ak545

              21.07.2021 в 23:58

              Вот именно — сперва сам с собой.

              • Аватар

                0d8bc7

                22.07.2021 в 00:53

                А что со мной не так?
                Идейных оппонентов затыкать не пытаюсь. Это ли в современном мире не главное? 😉 )))

                • Аватар

                  ak545

                  23.07.2021 в 11:43

                  Господи, да при чём тут «идейные оппоненты»?
                  Ты из любой технической публикации идеологию высасываешь. Ты свои личные претензии за общенародные выдаёшь. За себя отвечай, с собой разберись. А другие и без твоей заботы обойдутся. «Требования масс таковы», чтобы их без них не женили.

                  • Аватар

                    0d8bc7

                    23.07.2021 в 19:49

                    Я не высасываю её — просто я (уже) понимаю, что весь тот дурдом, который вокруг меня происходит, происходит по идеологическим причинам (потому что у кого-то свербит в заднице) 🤔
                    Показывать это нужно, потому что, к сожалению, всё ещё есть люди, до которых это просто так не доходит. (И я, если что, не считаю других глупее себя — напротив, я могу поставить себя на их место: я бы тоже не понял. И вот взять, например, тебя: ты не то что идеологического посыла, ты, похоже, даже посыла «этот способ защиты — фигня» не понял.)
                    Каждый вправе придерживаться своего мнения и выражать его. Ты не можешь заставить меня отказаться от моего мнения или заткнуть меня. Тем более, что тут Интернет (а Интернет это место для свободного неограниченного обмена информацией, если ты не знал, хотя надзиратели со мной не согласятся, но они же просто фактически захватили Интернет силой, это не меняет самой идеи глобальной Сети), и даже конкретно на этом сайте админы сделали возможность комментирования (а ведь где-то её нет).
                    Но ладно, я понимаю, может, тебе и правда неинтересно читать это в технических статьях. Ну а в чём тогда твоя проблема тоже оставлять комментарии, но по технической части? Будут мои бесполезные и ненужные комментарии и твои полезные и нужные, ты будешь так красиво выделяться на моём фоне ^_^ А ведь ты ещё обвинил меня в том, что я ноль как технический писатель. Сам-то ты не ноль? Повторюсь — в чем твоя проблема? 😉
                    Откуда ты знаешь, что все обойдутся без моей заботы? Нет, часть людей (возможно, даже бо́льшая), конечно, обойдётся. Но вот откуда ты совершенно точно знаешь, что обойдутся вообще все? Ты вычислил это математически или у тебя есть симулятор Вселенной? 🤔

  2. Аватар

    Виталий Меньшов

    19.07.2021 в 21:15

    Не совсем понял в чем отличие принципиальное о взлома через встроенную камеру (не нужно динамическую картинку делать?), подожду доклада что ли — https://blackhat.com/us-21/briefings/schedule/index.html#bypassing-windows-hello-for-business-and-pleasure-22868

Оставить мнение