微软Windows Hello曝漏洞!外接一个USB摄像头,分分钟破解你的电脑
文/金磊来源:量子位(ID:QbitAI),WindowsHello,相信大家都不陌生了。毕竟一度被称为“最简单的登录方式”——刷个脸,电脑就可以立马解锁。只需外接一个USB摄像头,2帧图像。然后“啪的一下”,就进来了……WindowsHello最近不太好人脸解锁,近几年可
文/金磊
来源:量子位(ID:QbitAI),
Windows Hello,相信大家都不陌生了。
毕竟一度被称为“最简单的登录方式”——刷个脸,电脑就可以立马解锁。
只需外接一个 USB 摄像头,2 帧图像。
然后“啪的一下”,就进来了……
Windows Hello 最近不太好
人脸解锁,近几年可以说是越发的普及。
像苹果的 iPhone 和 iPad,就可以利用自带的前置摄像头来解锁。
但 Windows 电脑的人脸识别解锁,不仅可以用自带摄像头,也可以与第三方网络摄像头一起工作。
于是,这一点就成功引起了安全公司 CyberArk 一名研究员的注意。
他认为:老式的网络摄像头,在收集和传输数据过程中,安全性是比较差的。
目前市场上很多刷脸解锁,利用的都是 RGB 人脸解锁方法。
但网络摄像头除了有 RGB 传感器之外,还拥有红外传感器。
于是这名研究员便对 Windows Hello 做了一番研究。
真是“不看不知道,一看吓一跳”。
他惊奇地发现:Windows Hello 甚至不看 RGB 数据。
什么意思?
黑客只需向 PC 发送两帧,就可以直接骗过你的 Windows Hello。
其中一帧是目标的真实红外捕捉数据,而另一帧是空白黑帧。
第二帧是用来欺骗 Windows Hello 的有效性验证的。
操作也可以说是相当简单了。
外接一个 USB 网络摄像头,传送一个图像,Windows Hello 就会误以为“哦!主人出现了”……
对此,这名研究员做出了如下解释:
我们试图去找人脸识别中最脆弱的环节,以及看看什么方法是最有意思、最容易的。
我们创建了一个完整的 Windows Hello 面部识别流图,发现“黑掉”它最简单的方法,就是假装一个摄像头。
这是因为整个系统都依赖于它的输入。
微软回应:已出补丁
这种破解方式,听上去确实有些简单可行了。
于是,微软这边也立即作出了回应:这是 Windows Hello 安全功能的绕过漏洞(bypass vulnerability)。
并且在本月的 13 日,已经发布了补丁来解决这一问题。
但是 CyberArk 公司对用户还是做出了这样的建议:建议采用增强后的 Windows Hello 登录方式。
这种方式是采用了微软“基于虚拟化的安全”,来对 Windows Hello 的面部数据进行加密。
而且这些数据是在内存保护区被处理的,这样一来,数据就不会被篡改了。
那么接下来的一个问题是,CyberArk 为什么要选择攻击 Windows Hello?
对此,公司的解释如下:从行业角度来看,研究人员对 PIN 破解和欺骗指纹传感器等方式,已经做过大量的研究工作了。
其次,Windows Hello 所涵盖的用户数量可以说是相当庞大了。
据微软去年 5 月的数据,这个服务拥有超过 1.5 亿用户;而去年 12 月,微软更是表示:84.7% 的 Windows 10 用户,使用 Windows Hello 登录。
但或许你更关心的一点是,自己是否会受到影响。
就目前来看,这方面的担忧也是大可不必了。
因为这种攻击方法只是听起来简单,但对于不是黑客出身的人来说,实现起来还是有困难的。
包括网友们也留言道:是很酷的一种方法,但普通用户无需担心。
最后,这位研究员表态道:
这种攻击方式我们早就知道了,对于微软还是挺失望的。
他们对摄像头的安全性、可信度,没有做更严格的要求。
相关文章:
- 信用卡 PIN 码很容易猜测
- 神经元簇发能模拟 AI 学习策略
- 蜘蛛丝可能根本不具有抗菌性质
- 佳能因禁止无墨水打印机扫描被起诉
- DeepMind盈利后开始「买买买」!收购机器人模拟平台MuJoCo,全面开源
- 分析师:新MacBook Pro搭载自家芯片,苹果利润率更高了
- 格芯提交上市申请IPO,筹资约26亿美元
- 美股周二:中概股普涨 阿里涨超6% 高途涨逾12%
- 搭配自研处理器与安卓12,谷歌新机Pixel 6起价599美元
- 摩根士丹利:马斯克有望凭SpaceX成首位万亿美元富豪
- 《鱿鱼游戏》助奈飞三季度新增用户翻倍,股价近新高
- DOTA 2又上热搜了 为什么这次大家到处刷“猛犸”?
- 多位游戏巨头联合希望美国政府监管盗版和作弊网站
- Google Play Data Safety开始接受开发者申请:2022年将强制执行
- 价格欺诈投诉引发公益诉讼 京东“划线价”格式条款须整改
发表回复