fbpx

駭客騙過 Windows Hello 人臉辨識 只需一張紅外線照片

駭客騙過 Windows Hello 人臉辨識 只需一張紅外線照片
                                       

7 月 13 日,CyberArk 報告揭露 Windows Hello 人臉辨識功能的一項漏洞,駭客只需目標臉部的單張紅外線影格(IR Frame),即可成功破解微軟的無密碼驗證系統。

(攝影師:cottonbro,連結:Pexels

Windows Hello 涵蓋三種驗證方式:PIN、指紋掃描、人臉辨識。其中,人臉辨識需要搭配具有生物辨識感測器的裝置才能順利運作, 包括內建 RGB 鏡頭與紅外線(IR)鏡頭。譬如筆電的 IR 鏡頭,或者生物識別 USB 裝置。

具體而言,駭客只需一個特製的 USB 裝置,以及目標臉部的紅外線照片即可騙過系統。CyberArk 研究人員表示,特製的 USB 裝置內建標準的紅外線鏡頭與 RGB 鏡頭,插入電腦後,即可順利在登錄畫面啟用人臉辨識功能。

接著,特製的 USB 裝置會傳給系統兩張照片,一張是目標臉部的紅外線影格,另一張是任意的彩色(RGB)照片。研究人員發現, Windows Hello 在人臉辨識過程中,真正需要的是一張有效的紅外線人臉影格,因此研究人員甚至使用海綿寶寶圖片,來替代彩色照片。

不過,這項手法的難度在於,駭客如何獲得目標臉部的紅外線圖片?根據報告,主要方式有兩種,一是透過紅外線相機獲得目標正面臉部的紅外線照片;其次是將彩色照片轉換為紅外線照片。後者技術門檻較高,但不無可能。

目前,全球有 13 億名 Windows 使用者。根據微軟去年 12 月統計,Windows 10 裝置使用 Windows Hello 的比例達 84.7%。雖然官方未透露人臉辨識、PIN、指紋辨識各自的使用比例。但即使使用人臉辨識的比例相對較少,影響範圍依舊很可觀。

所幸,微軟已於 7 月 13 日推出對應該漏洞的更新。同時,CyberArk 也計畫在 Black Cat 2021 上揭露更多相關資訊及該官方更新做了哪些應變措施。

平板筆電桌機

叫我小高就好了。聯絡方式:8bitgaoooo@gmail.com

More in 平板筆電桌機

蘋果官網上架含 Touch ID 巧控鍵盤等 5 款 iMac 配件

高伯任2021-08-04

小米 CEO 雷軍確認將於 8/10 晚間帶來數款新品!

Candice2021-08-04

ROG Zephyrus S17 正式開賣 RTX 3070 版本定價 79,900 元

高伯任2021-08-03

微軟 Windows 365 雲端電腦正式上線 月租最低 720 元

高伯任2021-08-03

華碩推出可攜式 144Hz 螢幕 ROG Strix XG16AHP 純白機身、支援 G-SYNC

高伯任2021-07-30

取代 Cookie 網頁追蹤 Google 公布「Privacy Sandbox」上線時間表

高伯任2021-07-26