Систему біометричної аутентифікації Windows 10 можна обдурити за допомогою роздрукованої фотографії власника, зробленої в ближньому інфрачервоному діапазоні. Останні оновлення Windows 10 виправляють цю вразливість для частини пристроїв, але тільки якщо користувач заново провів налаштування системи після оновлення, повідомляє ZDNet.
Microsoft додала в WIndows 10 багато нових функцій, в тому числі і систему біометричної аутентифікації Windows Hello. Вона дозволяє розблокувати без пароля саму операційну систему, а також може використовуватися для входу в деякі сторонні сервіси. Для розпізнавання користувача система використовує камеру, що знімає в ближньому ВК-діапазоні.
Дослідники в області комп'ютерної безпеки з німецької компанії SYSS перевірили, чи може ця система відрізнити справжнього користувача від його надрукованої фотографії. Для цього вони використовували фотографію користувача в ближньому ВК-діапазоні з трохи модифікованими кольорами і роздільною здатністю 340 на 340 або 480 на 480 пікселів (залежно від атакуваного комп'ютера), роздруковану на звичайному лазерному принтері.
Фахівці використовували для тестів два комп'ютери Microsoft Surface Pro 4 і Dell Latitude із зовнішньою камерою, що підтримує Windows Hello, а також різні версії Windows 10. На більшості протестованих версій система швидко впізнавала власника в роздруківці і розблокувала комп'ютер.
Дослідники виявили, що хоча починаючи з весняного оновлення Windows 10 під номером 1703 уразливість виправлена, система автентифікації захищена далеко не у всіх випадках. Наприклад, система розпізнає підробку, тільки якщо ввімкнено функцію захисту від спуфінгу, яка підтримується на Surface Pro, але не на використаній дослідниками сторонній камері. Більш того, навіть якщо комп'ютер оновлений до безпечної версії і функція включена, але користувач налаштував Windows Hello ще до оновлення, система все ще буде вразлива. Як вирішення проблеми дослідники радять користувачам оновитися до останньої версії Windows 10 і заново налаштувати біометричну аутентифікацію.
Дослідники в галузі інформаційної безпеки вже зламували багато інших біометричних систем, у тому числі і за допомогою роздруківок на принтері. Наприклад, таким чином навчилися зламувати сканер відбитків пальців і сканер райдужної оболонки в смартфонах, правда, у другому випадку на роздруківку також довелося помістити контактну лінзу. А в'єтнамські фахівці нещодавно всього через кілька днів після виходу iPhone X з новою системою біометричного захисту Face ID зламали її, роздрукувавши на 3D-принтері маску з контурами обличчя власника, а також наклеївши на неї плоскі фотографії очей і доль.