Windows Hello bị camera USB giả qua mặt
VOV.VN - Tính năng bảo mật sinh trắc học Windows Hello trên hệ điều hành Windows của Microsoft có thể bị tin tặc qua mặt, tuy nhiên cũng không phải đơn giản để khai thác nó trong đời thực.
Smartphone đã sử dụng xác thực sinh trắc học như dấu vân tay và khuôn mặt từ lâu trước khi chúng trở nên phổ biến hơn trên máy tính xách tay và thậm chí cả máy tính để bàn nhờ tính năng Windows Hello. Đây là nỗ lực của Microsoft nhằm mang lại sự kết hợp giữa sự tiện lợi và bảo mật giống nhau cho nền tảng hệ điều hành PC từ công ty.
Mặc dù vậy, nghiên cứu bảo mật mới cho thấy một lỗ hổng nghiêm trọng trong quy trình nhận dạng khuôn mặt của Windows Hello có thể bỏ qua xác thực bằng thiết bị USB tùy chỉnh. May mắn thay, việc khai thác lỗ hổng trong cuộc sống không đơn giản như chính lỗ hổng.
Quá trình mà các nhà nghiên cứu bảo mật tại CyberArk thực hiện cho thấy họ có thể đánh lừa Windows Hello hoặc ít nhất là hệ thống nhận dạng khuôn mặt của nó dễ dàng ra sao. Windows yêu cầu máy tính phải có camera với cả cảm biến RGB và IR để nhận dạng khuôn mặt Windows Hello hoạt động. Tuy nhiên, các nhà nghiên cứu phát hiện ra rằng trong thực tế, dữ liệu từ cảm biến IR mới là yếu tố quan trọng để vượt qua bảo mật của Windows.
Các nhà nghiên cứu đã phát triển một thiết bị USB từ bo mạch NXP, cho phép tự nó thể hiện là camera USB với các cảm biến RGB và IR (tạm hiểu là camera USB giả). Thiết bị camera USB giả này chỉ gửi các khung hình ảnh được tạo sẵn: một số khung IR của chủ sở hữu thực và một số khung RGB của bọt biển. Sau một số thử nghiệm, các nhà nghiên cứu phát hiện ra rằng họ thực sự chỉ cần một khung IR và một khung RGB màu đen đơn giản là có thể qua mặt hệ thống Windows Hello.
Theo CyberArk, lỗ hổng này tồn tại vì Windows Hello cho phép các thiết bị bên ngoài hoạt động như nguồn dữ liệu để xác thực sinh trắc học. Các nhà nghiên cứu chứng minh rằng đó là phương thức liên kết yếu nhất để tạo nên một hệ thống bảo mật hiện đại.
May mắn là lỗ hổng này không quá nghiêm trọng trong cuộc sống. Để kẻ tấn công có thể khai thác điểm yếu này, chúng cần có được hình ảnh hồng ngoại về khuôn mặt của mục tiêu, và đó không phải là điều dễ dàng. Kẻ tấn công cũng cần quyền truy cập trực tiếp vào máy tính để bàn hoặc máy tính xách tay để qua mặt Windows Hello, và khi điều đó xảy ra, có những cách khác thuận lợi hơn để tin tặc xâm nhập vào hệ thống của người dùng./.
