נחשפה חולשת אבטחה במנגנון האימות הביומטרי של מיקרוסופט Windows Hello
מאת:
מערכת Telecom News, 14.7.21, 15:16
החולשה מאפשרת לעקוף את המנגנון. כך, שגם מי שאינו מורשה יכול להיכנס למחשב. לפי מיקרוסופט, 85% ממשתמשי Windows 10 משתמשים ב-Windows Hello. מהי טכניקת התקיפה?
חברת סייברארק
CyberArk Labs חשפה חולשת אבטחה, שמצאה במנגנון האימות הביומטרי של מיקרוסופט,
Windows Hello, שמאפשר למשתמשים להיכנס למחשב שלהם באמצעות טכנולוגיה של זיהוי פנים. במקום להכניס סיסמא, כל מה שהמשתמש צריך לעשות זה להסתכל על המסך שלו. החוקרים בחנו את היבטי האבטחה מאחורי מנגנון זיהוי הפנים של
Windows Hello, ומצאו חולשה המאפשרת לעקוף את המנגנון, כך שגם מי שאינו מורשה יכול להיכנס למחשב.
יצויין, ש-
Windows Hello היא אחת ממערכות האימות ללא-סיסמא הפופולריות ביותר, לפי מיקרוסופט, 85% ממשתמשי
Windows 10 משתמשים ב-
Windows Hello.
טכניקת התקיפה שחשפו החוקרים:
מנגנון אימות הזהות של
Windows Hello כולל שימוש ב-2 סוגים של תמונות: צילום תמונה רגילה ותמונת אינפרא-אדום (כדי לוודא לפי חום גוף, שיש כאן אדם אמיתי ולא רק תמונה פיקטיבית).
בפועל, החוקרים גילו, שהמנגנון של
Hello לא מתייחס לתמונה הרגילה, אלא רק לתמונת האינפרא-אדום, וגם בה, רק לחלקים מסוימים המאפיינים את אותו אדם. לפיכך הם צלמו תמונת
IR של המשתמש המותקף, ובעזרת מכשיר
USB חיצוני שלחו אותה למערכת לצורך אימות, וכך עקפו את המנגנון.
עומר צרפתי, חוקר במעבדות סייברארק: "במהלך המחקר גילינו תכנון המאפשר לתוקף לעקוף את מנגנון זיהוי הפנים של
Hello. החולשה מאפשרת לתוקף עם גישה פיזית למכשיר לזייף את תהליך האימות ע"י ייצור תמונה של פניו של הקורבן ובהמשך חיבור של מכשיר
USB, שהותאם במיוחד כדי להזריק את התמונות המזויפות למנגנון האימות.
מתקפה מסוג זה יכולה לשרת תוקף, שמכוון למשל, לחוקר, מדען, עיתונאי, פעיל חברתי (אקטיביסט) או משתמש פריבילגי עם קניין רוחני רגיש על המחשב שלהם.
המחקר התמקד ב-
Windows Hello ובגרסת האנטרפרייז שלו (הגרסה הארגונית)
Windows Hello for Business. אולם, בפוטנציאל, כל מערכת אימות, שמאפשרת חיבור מכשיר מצלמה
USB של צד שלישי כסנסור ביומטרי, עלול להיות יעד למתקפה".
בחברה מוסיפים, שבאמצעות הטכניקה הזו, כל מנגנון אימות, שסומך על מצלמת
USB חיצונית, נמצא בסיכון ועלול לאפשר גישה למחשב של המשתמש הנתקף ולרשת אליה הוא מחובר.
צוות מעבדות סייברארק דיווח למיקרוסופט על החולשה שמצא וסייע במציאת צעדים להפחתת הסכנה לארגונים ברחבי העולם. בעקבות שיתוף פעולה זה מיקרוסופט פרסמה אמש תיקון תוכנה, שמפחית את משטח המתקפה. התיקון מגביל את סוגי המצלמות, שניתן לחבר למחשב, ומאפשר הגבלה לשימוש במצלמות מובנות בלבד. כך, שלא יהיה ניתן לחבר מכשיר
USB חיצוני. כאמור צעדים אלה מקשים על מימוש התקיפה אבל לא מונעים אותה לחלוטין.
פרטים נוספים, דיאגרמות וסרטון המדגים את טכניקת התקיפה -
כאן.