Система аутентификации Microsoft Windows Hello может работать совместно с веб-камерами разных производителей, что делает её довольно простой в использовании. Но эта универсальность может ослабить защищённость технологии перед мошенниками. Это подтвердили эксперты компании CyberArk которые сумели обмануть Windows Hello при помощи изображения лица владельца ПК.
Windows Hello совмещается с разными веб-камерами, которые имеют RGB- или инфракрасный датчик. В процессе эксперимента обнаружилось, что в ходе аутентификации система обрабатывает лишь инфракрасные кадры. Чтобы проверить данную теорию, специалисты создали специальное USB-устройство, в которое загрузили инфракрасные изображения владельца компьютера и изображения в формате RGB с персонажем мультфильма Губкой Бобом. После подключения система Windows Hello распознала устройство как USB-камеру и ноутбук был успешно разблокирован при помощи инфракрасного фото.
Следует сказать, что взломать при помощи данной техники чей-либо компьютер будет весьма затруднительно, потому как для этого требуется добыть инфракрасное фото обладателя ПК. Однако это остаётся недостатком безопасности системы Windows Hello, который в теории могут использовать злоумышленники.
Специалисты из Microsoft уже предоставили исправление ошибки, которую в компании назвали «уязвимость обхода функции безопасности Hello». Microsoft также предложила использовать функцию усиленной безопасности входа с Windows Hello, после включения которой сведения о лице пользователя шифруются и находятся в отдельной защищённой области.