قابلیت Windows Hello در ویندوز ۱۰ مغلوب یک تصویر چاپی شد!
همانطور که Windows Hello، ویژگی جدید امنیتی مربوط به اسکن تصویر در ویندوز ۱۰ می باشد، که اخیراً با استفاده از یک تصویر چاپ شده شکست خورده است. محققان امنیتی از شرکت SYSS آلمانی Windows Hello را روی دستگاه های ویندوز ۱۰ که نسخه های قدیمی تر سیستم عامل را اجرا می کنند، شکست داده اند. چندین نسخه ویندوز ۱۰ و تعدادی از سخت افزار های مختلف تحت تاثیر قرار گرفته شده اند.
SYSS دستگاه Surface Pro 4 مایکروسافت را که در سال گذشته با آپدیت Anniversary ویندوز ۱۰ منتشر شد، مورد آزمایش قرار داد و متوجه آسیب پذیری آن شد. حتی ویژگی anti-spoofing مایکروسافت در Windows Hello به حفاظت از سیستم های در حال اجرا با نسخه های قدیمی تر از ویندوز ۱۰، کمک نکرد. SYSS دریافت که اگر ویژگی anti-spoofing در آپدیت Creators (منتشر شده در اوایل سال جاری) یا آپدیت Fall Creators (منتشر شده در ماه اکتبر) غیرفعال شود، می توان از Windows Hello عبور کنید یا اصطلاحاً آن را دور زد. بسیاری از لپ تاپ های مدرن از ویژگی anti-spoofing ویندوز سلام پشتیبانی نمی کنند، بنابراین این دستگاه ها حتی با آخرین به روز رسانی ویندوز نیز آسیب پذیر هستند.
حتی اگر از آخرین به روز رسانی Fall Creators ویندوز ۱۰ استفاده گردد و ویژگی anti-spoofing نیز جهت جلوگیری از سوء استفاده های احتمالی فعال شود، ممکن است باز هم برای جلوگیری از حمله کافی نباشد. کاربران ویندوز ۱۰ که قبلا Windows Hello را روی نسخه قدیمی ویندوز ۱۰ نصب کرده اند (مانند آپدیت Anniversary سال گذشته) هنوز آسیب پذیر خواهند بود. محققان امنیتی توصیه می کنند که کاربران ویندوز ۱۰ که Windows Hello را فعال کرده اند دوباره به settings بازگردند و شناسایی چهره را مجددا تنظیم کنند، و همچنین اگر یک دستگاه از آن پشتیبانی می کند، اطمینان حاصل شود که anti-spoofing فعال باشد.
این نوع حمله نیازمند یک تصویر چاپی از کاربر تأیید شده و همچنین یک دوربین مادون قرمز است، بنابراین موفقیت کامل با آن اصلا آسان نیست. ما قبلا شاهد حملات مشابهی برای اسکنر صورت سامسونگ گلگسی S8 بودیم که به تصاویر خیلی پیچیده ای احتیاج نداشت و کافی بود یک عکس از فرد مورد نظر که با دوربین دیجیتال گرفته شده است در دسترس باشد تا بتوان با آن به راحتی گوشی را فریب داد.