A miało być tak bezpiecznie. Rozpoznawanie twarzy Windows Hello też da się obejść

Microsoft bardzo chciałby stworzyć internet bez haseł, dlatego stara się wprowadzać w wielu miejscach swojego systemu weryfikację biometryczną, także w postaci Windows Hello. Nie jest ona jednak pozbawiona wad.

Reklama

Microsoft to nie Apple

Windows Hello jest metodą rozpoznawania twarzy, z której korzysta Microsoft w kompatybilnych urządzeniach, podczas zabezpieczania kluczowych informacji w systemie Windows 10 i Windows 11. W gruncie rzeczy to bardzo praktyczna rzecz – przy logowaniu wystarczy krótkie spojrzenie w obiektyw kamery, by czujniki podczerwieni pomogły zdecydować oprogramowaniu, czy dana osoba jest tą, która powinna uzyskać dostęp do zasobów urządzenia. Specyfika rozdawania przez Microsoft certyfikatów Windows Hello jest jednak na tyle specyficzna, że generuje pewne ryzyko.

Dla przykładu, Apple nie udostępnia technologii Face ID innym firmom. Rozpoznawanie twarzy w iPhone’ach i iPadach działa tylko z jednym zestawem kamer, których ustawienia i technologia są pilnie strzeżone. Dla Tima Cooka logiczne jest, że Face ID nie może być dostępne dla innych producentów sprzętu. Microsoft wychodzi z innego założenia. Rozpoznawanie twarzy Windows Hello działa nie tylko na urządzeniach z Redmond (z rodziny Surface), ale także na wielu innych. Wymogiem jest co prawda wyposażenie danego sprzętu w odpowiednią kamerę RGB oraz czujnik podczerwieni, ale zwiększa to niebezpieczeństwo odnalezienia luki w zabezpieczeniach. I właśnie coś takiego się teraz zdarzyło.

Reklama
Kamery i czujniki wykorzystywane przez Windows Hello w Microsoft Surface Laptop 4 (fot. Tabletowo)

Hak na Windows Hello

Okazuje się, że choć Windows Hello wymaga do działania zwykłej kamery oraz sensora podczerwieni, to nie bierze pod uwagę danych zbieranych przez ten pierwszy element. Otwiera to drogę do manipulacji, której dopuściła się grupa badaczy z Cyber Ark. Spreparowali oni obraz twarzy właściciela konta w podczerwieni, dzięki czemu byli w stanie skłonić Windows Hello do wniosku, że oto twarz właściciela konta rzeczywiście znajduje się przed urządzeniem. W efekcie, byli w stanie zalogować się na jego konto Windows.

Czy jest się czego bać? Choć schemat działania potencjalnych przestępców, chcących dostać się do naszych danych wydaje się być prosty, to obejście zabezpieczeń Windows Hello, drogą odkrytą przez Cyber Ark, wymaga sporo zachodu. Przede wszystkim, trzeba dysponować dobrej jakości obrazem danej osoby w podczerwieni, a także mieć fizyczny dostęp do atakowanego urządzenia. Na taki sposób mógłby zdecydować się naprawdę mocno zdecydowany oszust.

Microsoft odnotował zebrane w ten sposób wnioski i opublikował łatkę, która ma wzmocnić zabezpieczenia Windows Hello. To o tyle istotne, że obecna baza użytkowników Windows Hello przekroczyła już ponad 150 milionów. W grudniu Microsoft poinformował, że 84,7 posiadaczy Windowsa 10, decyduje się na korzystanie z Windows Hello.