Hirdetés

Komoly biztonsági rést fedeztek fel a Windows arcazonosításán

|

Átverhetőnek bizonyult a Windows Hello, de a Microsoft már ki is adott egy javítást.

Hirdetés

A biometrikus azonosítás a jelszavak utáni világ kulcsa, hiszen az arcra, ujjlenyomatra, vagy íriszre épülő beléptetés nem csak biztonságosabb, de jóval kényelmesebb is a karakterek állandó bepötyögésénél.

Ezért is vezette be a Microsoft a Windows Hello protokollt, melynek arcazonosítási megoldása ma már több mint 150 millió eszközt véd. A jelek szerint azonban a technológia közel sem olyan megbízható, mint ahogy azt a redmondiak állítják, a CyberArk biztonsági cég ugyanis komoly sérülékenységre bukkant benne.

Hirdetés

A probléma megértéséhez tömören tisztázni kell a Windows Hello használatának hardveres feltételét: a Microsoft csak olyan webkamerákkal engedélyezi a szolgáltatást, amelyek a hagyományos RGB-képalkotás mellett infravörös szenzorral is bírnak. Ezzel elméletben pontosabb és nehezebben átverhető az azonosítás, a CyberArk viszont felfedezte, hogy a Windows Hello a gyakorlatban csak az infravörös képet vizsgálja.

A kutatók ezen a nyomon elindulva rájöttek, hogy egy támadónak csupán be kell juttatnia a rendszerbe egy saját maga által kiválasztott fotót és egy fekete képkockát az USB-kamerán keresztül, és a Windows Hello zöld utat kínál a hackereknek.

A sérülékenység gyakorlati kihasználását megnehezíti, hogy fizikai hozzáférést igényel  a számítógéphez, és persze a támadónak is rendelkeznie kell egy jó minőségű infravörös képpel az áldozatról. Omer Tsarfati, a CyberArk kutatója szerint viszont egy "nagyon motivált" hackernek ez nem okoz különösebb problémát.

A Microsoft reagált a felfedezésre, és kedden kiadta a CVE-2021-34466 sorozatszámon nyilvántartásba vett sérülékenység javítását. A vállalat egyúttal azt is javasolja a felhasználóknak, hogy aktiválják a Windows Hello fejlesztett biztonsági bejelentkezését, ami titkosítással védi az arcazonosításhoz használt információkat.

A CyberArk azonban arra figyelmeztet, hogy a probléma gyökere valójában a rendszer és a külső partnerek által gyártott kamerák közti veszélyes bizalom. A redmondiak ugyanis a minél szélesebb körű elérhetőség érdekében nem szankcionálják, hogy mely gyártók eszközeivel működik a Windows Hello, így nem is tudnak olyan, biztonságosabb hardverekre építeni, mint például az Apple, amely saját szenzorokra alapozza a Face ID nevű megoldását.

A szakértők ezért azt javasolják, hogy Microsoftnak legalább valamiféle hivatalos jelzéssel kellene ellátnia a megfelelő védelmet nyújtó webkamerákat, amivel a felhasználók könnyebben eligazodhatnának, hogy melyik eszközökkel gondoskodhatnak hatékonyan a biztonságukról.

Komolyabban érdekel az IT? Informatikai, infokommunikációs döntéshozóknak szóló híreinket és elemzéseinket itt találod.

Hirdetés
Hirdetés

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://pcworld.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.