fbpx

駭客騙過 Windows Hello 人臉辨識 只需一張紅外線照片

駭客騙過 Windows Hello 人臉辨識 只需一張紅外線照片
                                       

7 月 13 日,CyberArk 報告揭露 Windows Hello 人臉辨識功能的一項漏洞,駭客只需目標臉部的單張紅外線影格(IR Frame),即可成功破解微軟的無密碼驗證系統。

(攝影師:cottonbro,連結:Pexels

Windows Hello 涵蓋三種驗證方式:PIN、指紋掃描、人臉辨識。其中,人臉辨識需要搭配具有生物辨識感測器的裝置才能順利運作, 包括內建 RGB 鏡頭與紅外線(IR)鏡頭。譬如筆電的 IR 鏡頭,或者生物識別 USB 裝置。

具體而言,駭客只需一個特製的 USB 裝置,以及目標臉部的紅外線照片即可騙過系統。CyberArk 研究人員表示,特製的 USB 裝置內建標準的紅外線鏡頭與 RGB 鏡頭,插入電腦後,即可順利在登錄畫面啟用人臉辨識功能。

接著,特製的 USB 裝置會傳給系統兩張照片,一張是目標臉部的紅外線影格,另一張是任意的彩色(RGB)照片。研究人員發現, Windows Hello 在人臉辨識過程中,真正需要的是一張有效的紅外線人臉影格,因此研究人員甚至使用海綿寶寶圖片,來替代彩色照片。

不過,這項手法的難度在於,駭客如何獲得目標臉部的紅外線圖片?根據報告,主要方式有兩種,一是透過紅外線相機獲得目標正面臉部的紅外線照片;其次是將彩色照片轉換為紅外線照片。後者技術門檻較高,但不無可能。

目前,全球有 13 億名 Windows 使用者。根據微軟去年 12 月統計,Windows 10 裝置使用 Windows Hello 的比例達 84.7%。雖然官方未透露人臉辨識、PIN、指紋辨識各自的使用比例。但即使使用人臉辨識的比例相對較少,影響範圍依舊很可觀。

所幸,微軟已於 7 月 13 日推出對應該漏洞的更新。同時,CyberArk 也計畫在 Black Cat 2021 上揭露更多相關資訊及該官方更新做了哪些應變措施。

平板筆電桌機

叫我小高就好了。聯絡方式:8bitgaoooo@gmail.com

More in 平板筆電桌機

ROG「白色大軍」月光系列電競週邊登場

高伯任2021-09-17

小米平板 Xiaomi Pad 5 登場 售價 349 歐元起

高伯任2021-09-15

新一代 iPad mini、iPad 登場 預計 9 月 24 日開賣

高伯任2021-09-15

華碩 Vivobook Pro 系列筆電上市 登錄送 3 個月 Adobe Creative Cloud

高伯任2021-09-14

HUAWEI MatePad 11 聰明大平板 x Kisplay 的一日生活

Kisplay2021-09-13

HUAWEI MatePad 11 9/24 台灣上市 售價 15,000 有找!

Candice2021-09-13