Если вы пропустили последние обновления Windows 10 Creators Updates, вот вам причина передумать: его функция безопасности по распознаванию лиц Hello может быть обманута при помощи фотографии.
Уязвимость была объявлена в подробном исследовании немецкой компанией Syss, специализирующейся на тестировании безопасности путем моделирования атак злоумышленников.
Даже если у вас установлены исправленные версии, выпущенные в октябре, чтобы сделать распознавание лиц устойчивым к атакам, программа должна быть настроена с нуля.
Простейший спуфинг (когда злоумышленник пытается обмануть систему маскируясь под легитимного пользователя) - это вариант использования измененной напечатанной фотографии авторизованного пользователя, что позволяет преступнику войти в заблокированную систему Windows 10.
Syss заявила, что в уязвимых версиях включены как стандартная конфигурация, так и Windows Hello с расширенной функцией защиты от спуфинга. Однако включенную улучшенную защиту возможно преодолеть всего-навсего используя фотографию с другими атрибутами в зависимости от версии Windows 10, т.е. дополнительные усилия для злоумышленника незначительны.
Исследователи протестировали свою атаку на Dell Latitude с системой Windows 10 Pro, сборка 1703; и Microsoft Surface Pro, использующую 4 сборку 1607.
Они попытались изменить настройки Surface Pro на «усиленный анти-спуфинг», однако заявили, что его LilBit USB ИК-камера поддерживает только конфигурацию по умолчанию и не может использоваться с более безопасными настройками распознавания лиц.
Ниже приведены три видеоролика, подтверждающие спуфинг.
