فریب قابلیت تشخیص چهره‌ی ویندوز هلو در ویندوز ۱۰ با استفاده از یک عکس

کمیته رکن چهارم – کارشناسان کشف کرده‌اند که می‌توان قابلیت امنیتی تشخیص چهره‌ی ویندوز ۱۰ که Hello نام دارد را با استفاده از عکس یک کاربر دارای مجوز فریب داد.

احراز هویت مبتنی‌بر چهره‌ی مایکروسافت در ویندوز ۱۰ یک سازوکار تایید هویت سازمانی است که به عنوان یک مولفه‌ی مرکزی ویندوز به نام ویندوز هلو (Windows Hello) در چارچوب بیومتریک ویندوز قرار داده شده است. قابلیت احراز هویت مبتنی‌بر چهره‌ی ویندوز هلو برای احراز هویت و باز کردن قفل دستگاه‌های ویندوز و همچنین باز کردن قفل مایکروسافت پاسپورت از یک دوربین که به طور خاص برای تصویربرداری مادون قرمز پیکربندی شده است، استفاده می‌کند.

خبر بد این است که حتی اگر کاربران نسخه‌‌های وصله‌شده‌ی این قابلیت (نسخه‌های ۱۷۰۳ یا ۱۷۰۹) که در ماه اکتبر منتشر شده‌اند را نصب کرده باشند، باز هم این روش بهره برداری موثر است.

در یک مشاره‌نامه‌ی امنیتی که در Full Disclosure منتشر شده، آمده است: «با توجه به پیاده‌سازی ناامن تشخیص چهره‌ی بیومتریک در برخی از نسخه‌های ویندوز ۱۰، امکان دور زدن قابلیت احراز هویت مبتنی‌بر چهره‌ی ویندوز هلو، از طریق یک حمله‌ی ساده که از عکس یک شخص مجاز استفاده می‌کند، وجود دارد.»

این روش حمله که توسط پژوهش‌گران کشف شده است، روی پیکربندی پیش‌فرض کار می‌کند، و حتی با فعال‌سازی قابلیت ضد نفوذ ویندوز هلو نیز نمی‌توان با آن مقابله کرد.

بنابراین با در دست داشتن یک عکس مناسب از یک شخص مجاز، می‌توان به راحتی قابلیت احراز هویت مبتنی‌بر چهره‌ی ویندوز هلو را دور زد و به صورت غیرمجاز به سامانه‌ی ویندوز هدف دسترسی پیدا کرد.

هم پیکربندی پیش‌فرض ویندوز هلو و هم ویندوز هلو با قابلیت ضد نفوذ فعال در نسخه‌های ویندوز ۱۰ مختلف در برابر این حمله آسیب‌پذیر هستند و می‌توانند دور زده شوند. اگر قابلیت ضد نفوذ فعال شود، بسته به نسخه‌ی ویندوز ۱۰ مورد هدف، یک عکس اصلاح شده که دارای ویژگی‌های متفاوتی است باید مورد استفاده قرار بگیرد، اما این کار نیز زحمت زیادی برای یک مهاجم در پی ندارد. به طور کلی، هنگامی که قابلیت ضد نفوذ فعال است، این روش حمله‌ی فریب ساده کمتر قابل اطمینان می‌شود.

روش بهره‌برداری اثبات مفهومی که توسط پژوهش‌گران منتشر شده است، در برابر یک دستگاه Dell Latitude که نسخه‌ی ۱۷۰۳ ویندوز ۱۰ پرو اجرا می‌کند و همچنین در یک دستگاه Microsoft Surface Pro ۴، نسخه‌ی ۱۶۰۷، موثر است.

کارشناسان تلاش کردند تا از قابلیت ضد نفوذ در Surface Pro استفاده کنند، اما بنابه گفته‌ی کارشناسان، دوربین LilBit این دستگاه تنها از پیکربندی‌های پیش‌فرض پشتیبانی می‌کند و نمی‌تواند با تنظیمات تشخیص چهره‌ی امن‌تر مورد استفاده قرار بگیرد.

منبع : news.asis.io

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Green Captcha Characters Below.