Cum poate fi păcălită tehnologia de autentificare facială Windows Hello

Deși, Microsoft o promovează ca pe o soluție perfect sigură, tehnologia Windows Hello folosită pentru autentificare biometrică pe dispozitivele cu Windows 10 nu este chiar atât de sigură pe cât se credea.

Prezentă de mult timp pe smartphone-uri, funcția de autentificare biometrică prin recunoaștere facială  a avut nevoie de multe revizii și hardware specializat pentru a ajunge la un nivel de siguranță satisfăcător. Spre deosebire de gadgeturile sus menționate, PC-urile și laptopurile cu Windows 10 nu vin toate cu webcam integrat, compatibil din start cu cerințele Windows Hello. Prin urmare, Microsoft a trebuit să facă unele compromisuri, care acum își arată efectele.

Potrivit investigațiilor făcute de experți în securitate ai companiei CyberArk, este relativ ușor să păcălești sistemul de autentificare Windows Hello.

Totul pornește de la faptul că Microsoft nu condiționează folosirea acestei tehnologii de asocierea cu hardware dedicat, cum ar fi un webcam certificat Windows Hello și integrat de producătorul echipamentului. Din nevoia de a asigura compatibilitatea cu cât mai multe dispozitive, Microsoft permite utilizatorilor să achiziționeze ulterior un webcam pentru funcția de autentificare biometrică, pe care să-l conecteze pur și simplu la portul USB. De aici, o sumedenie de probleme, fiind teoretic posibil ca un atacator să falsifice datele biometrice.

Oficial, tehnologia Windows Hello necesită folosirea unui webcam cu senzor optic RGB (color) plus senzor IR pentru folosire nocturnă. În realitate, funcția de autentificare gândită de inginerii Microsoft ignoră complet imaginea furnizată de senzorul optic, folosind doar senzorul infraroșu pentru amprentarea facială a utilizatorului. Teoretic, opțiunea IR face sistemul mai greu de păcălit prin simpla arătare a unei poze cu fața utilizatorului în fața camerei web și oferă rezultate mai consistente, scanarea IR nefiind dependentă de condițiile ambiante de iluminare.

Totuși, faptul că Microsoft acceptă orice webcam conectat la portul USB pentru folosirea cu sistemul Windows Hello, condiționând doar prezența senzorului IR pentru validarea compatibilității, reprezintă o vulnerabilitate pe care hackeri sau organizații cu minim de expertiză hardware o pot exploata cu ușurință.

Concret, cercetătorii au dezvoltat un fals webcam USB folosind o placă electronică pentru dispozitive prototip, bazată pe un chipset NXP foarte comun. Setat pentru a se prezenta PC-ului conectat prin USB ca o cameră web cu senzori RGB și IR, dispozitivul poate fi folosit pentru a transmite imagini pre-înregistrate. Singurul obstacol notabil este nevoia de a fotografia fața victimei folosind tot o cameră cu IR, o simplă poză scanată sau imagine RGB nefiind suficientă. Spre exemplu, o astfel de imagine IR ar putea fi recoltată în timp ce persoana vizată se află în fața unui bancomat, sau folosește un alt laptop compromis, prevăzut cu un webcam compatibil Windows Hello.