Vi insisterar alltid på vikten av att korrekt skydda vår PC-session för att förhindra obehöriga användare från att få tillgång till våra data. Att använda ett långt och komplext lösenord är i slutändan det bästa alternativet, men det är också det minst praktiska. Därför med ankomsten av Windows 10 Microsoft implementerade en serie biometriska inloggningssystem som gör att vi kan logga in på datorn snabbt och enkelt och på säkrast sätt. Detta är Windows Hej .
Windows Hello tillåter oss att logga in på datorn på flera olika sätt. Den mest använda tekniken för denna process är PIN , en fyrsiffrig kod som vi kan ange i datorn för att låsa upp sessionen, liknar en kreditkortskod. Vi kan också logga in med fingeravtryck (om vår dator har en läsare), använd en säkerhetsnyckel för att låsa upp datorn direkt, och till och med en webbkameran , med infraröd, för att känna igen vårt ansikte och låta oss komma in i datorn.
Till en början är dessa avancerade inloggningssystem säkra och de ska inte äventyra vår dator på något sätt. De har dock hittat ett sätt att lura ansiktsigenkänningssystemet.
Så här kan de lura Windows Hello med en falsk webbkamera
En grupp hackare har kunnat visa hur lätt det är är att skapa en falsk USB-webbkamera , med en mikrodator som liknar hallon Pi, som ansvarar för att skicka infraröda bilder som är utformade för detta ändamål, direkt till Windows Hello-kontrollenheten. Och han accepterar dem utan problem.
Problemet är att Windows Hello som standard stöder att alla kameror med infrarött stöd är en Windows Hello-kamera. Det kontrolleras inte på något annat sätt och inte heller har det något annat krav att betraktas som ”säkert”, men helt enkelt genom att ha infraröd kan det redan användas för ansiktsigenkänning.
Det enda vi behöver för att kunna genomföra denna cyberattack är en infraröd fångst av personen i fråga och ett foto av detsamma i svartvitt . Det förstnämnda används som ett identifieringssystem, medan det senare är ett ”bevis på livet”.
Hackare kan få IR-bilden av personen på många olika sätt. De kan till exempel ta infraröda inspelningar på långa avstånd eller placera dolda kameror i personens miljö, till exempel i en hiss.
Microsoft har erkänt misslyckandet
Microsoft har varit snabb med att erkänna säkerhetsfrågan, som redan har registrerats som CVE-2021-34466 . Medan företaget hittar ett sätt att mildra denna säkerhetsfel (något som visserligen är komplicerat) har Microsoft rekommenderat att användare aktiverar förbättrad inloggningssäkerhet. Tack vare det bara OEM betrodda kameror kan användas som ett Windows Hello-autentiseringssystem.
På detta sätt kunde den externa USB-kameran inte injicera bilden och lura inloggningssystemet. Tyvärr är listan över OEM-kameror som validerats av Microsoft mycket liten, och vi kan ha problem.
Vi kommer ihåg att vi också kan använda en PIN-kod eller ett fingeravtryck för att logga in om vi inte vill ha Windows Hello för närvarande.
