Системата за автентификация Windows Hello може да бъде излъгана с инфрачервена снимка
Експертите по осведомителна сигурност на компанията откриха забавен метод за заблуждаване на вградената в операционните системи Windows 10 и Windows 11 система за автентификация Windows Hello благодарение на инфрачервено изображения сложено в черна рамка.
Системата Windows Hello включва три метода за автентификация: потребителски PIN код, скенер за пръстови отпечатъци и функционалност за различаване на лицето. За естествената работа на функционалността за различаване на лицето е нужна камера, която може да записва както общоприетите RGB светлини, по този начин и инфрачервеното лъчение. Специалистите демонстрираха, че в самия развой на автентификация се употребяват единствено фрагментите, получени от инфрачервения датчик. Уязвимостта бе класифицирана като CVE-2021-34466 . Тази накърнимост дава опция на хакерите да манипулират процеса на логване посредством чрез инфрачервена фотография на лицето на притежателя на акаунта. Това изображение се слага в особено устройство, което се включва към USB врата на компютъра в който би трябвало да се проникне и оттова се взема нужното зареждане за инфрачервеното лъчение.
За реализиране на офанзива посредством тази накърнимост са задоволителни единствено два фрагмента – инфрачервена фотография на индивида и един RGB кадър , който не е наложително да демонстрира тъкмо изображението на лицето на притежателя на акаунта. По време на тестванията специалистите са употребявали RGB изображението на Спонджбоб и за тяхно удивление проникването е било сполучливо.
Системата Windows Hello включва три метода за автентификация: потребителски PIN код, скенер за пръстови отпечатъци и функционалност за различаване на лицето. За естествената работа на функционалността за различаване на лицето е нужна камера, която може да записва както общоприетите RGB светлини, по този начин и инфрачервеното лъчение. Специалистите демонстрираха, че в самия развой на автентификация се употребяват единствено фрагментите, получени от инфрачервения датчик. Уязвимостта бе класифицирана като CVE-2021-34466 . Тази накърнимост дава опция на хакерите да манипулират процеса на логване посредством чрез инфрачервена фотография на лицето на притежателя на акаунта. Това изображение се слага в особено устройство, което се включва към USB врата на компютъра в който би трябвало да се проникне и оттова се взема нужното зареждане за инфрачервеното лъчение.
За реализиране на офанзива посредством тази накърнимост са задоволителни единствено два фрагмента – инфрачервена фотография на индивида и един RGB кадър , който не е наложително да демонстрира тъкмо изображението на лицето на притежателя на акаунта. По време на тестванията специалистите са употребявали RGB изображението на Спонджбоб и за тяхно удивление проникването е било сполучливо.
Източник: kaldata.com
КОМЕНТАРИ