Исследователи безопасности из немецкой компании SySS GmbH обнаружили уязвимость в функции распознавания лиц Windows Hello для ОС Windows 10.
Экспертам удалось обмануть систему и разблокировать устройство с помощью специально обработанной и распечатанной на принтере фотографии.
Windows Hello – эксклюзивная для ОС Windows 10 функция, использующая инфракрасное изображение для аутентификации и разблокировки устройств, оснащенных камерой с инфракрасным датчиком. Функция не получила широкого распространения, поскольку существует не так много устройств с необходимым оборудованием. По словам исследователей, функцию можно обмануть с помощью фотографии лица владельца устройства, предварительно изменив ее до необходимого ИК-спектра, а затем распечатав на лазерном принтере в низком разрешении (340 × 340 пикселей).
Экспертам удалось осуществить атаку даже при включенной функции «усиленной защиты от спуфинга», однако для этого исследователям пришлось использовать фотографию с более высоким разрешением (480×480 пикселей).
Эксперты также смогли обмануть функцию с помощью черно-белого фото, предварительно заклеив инфракрасный датчик непрозрачной изолентой. Microsoft выпустила патчи, исправляющие уязвимость в версиях Windows 10 1703 и 1709.
Видео с демонстрацией атаки