Систему биометрической аутентификации Windows 10 можно обмануть с помощью распечатанной фотографии владельца, сделанной в ближнем инфракрасном диапазоне. Последние обновления Windows 10 исправляют эту уязвимость для части устройств, но только если пользователь заново провел настройку системы после обновления, сообщает ZDNet.
Microsoft добавила в WIndows 10 много новых функций, в том числе и систему биометрической аутентификации Windows Hello. Она позволяет разблокировать без пароля саму операционную систему, а также может использоваться для входа в некоторые сторонние сервисы. Для распознавания пользователя система использует камеру, снимающую в ближнем ИК-диапазоне.
Исследователи в области компьютерной безопасности из немецкой компании SYSS проверили, может ли эта система отличить настоящего пользователя от его напечатанной фотографии. Для этого они использовали фотографию пользователя в ближнем ИК-диапазоне с немного модифицированными цветами и разрешением 340 на 340 или 480 на 480 пикселей (в зависимости от атакуемого компьютера), распечатанную на обычном лазерном принтере.
Специалисты использовали для тестов два компьютера Microsoft Surface Pro 4 и Dell Latitude с внешней камерой, поддерживающей Windows Hello, а также разные версии Windows 10. На большинстве протестированных версий система быстро узнавала владельца в распечатке и разблокировала компьютер.
Исследователи обнаружили, что хотя начиная с весеннего обновления Windows 10 под номером 1703 уязвимость исправлена, система аутентификации защищена далеко не во всех случаях. Например, система распознает подлог, только если включена функция защиты от спуфинга, которая поддерживается на Surface Pro, но не на использованной исследователями сторонней камере. Более того, даже если компьютер обновлен до безопасной версии и функция включена, но пользователь настроил Windows Hello еще до обновления, система все еще будет уязвима. В качестве решения проблемы исследователи советуют пользователям обновиться до последней версии Windows 10 и заново настроить биометрическую аутентификацию.
Исследователи в области информационной безопасности уже взламывали многие другие биометрические системы, в том числе и с помощью распечаток на принтере. Например, таким образом научились взламывать сканер отпечатков пальцев и сканер радужной оболочки в смартфонах, правда, во втором случае на распечатку также пришлось поместить контактную линзу. А вьетнамские специалисты недавно всего через несколько дней после выхода iPhone X с новой системой биометрической защиты Face ID взломали ее, распечатав на 3D-принтере маску с контурами лица владельца, а также наклеив на нее плоские фотографии глаз и губ.
Григорий Копиев
Ее получили шесть ученых и два научных руководителя
Яндекс объявил лауреатов четвертой премии имени Ильи Сегаловича, вручаемой за достижения в области компьютерных наук. Премию получили шесть ученых и два научных руководителя из «Сколтеха», ВШЭ и ФИЦ ИУ РАН, сообщается в пресс-релизе, поступившем в редакцию N + 1.