A biometrikus azonosítás a jelszavak utáni világ kulcsa, hiszen az arcra, ujjlenyomatra, vagy íriszre épülő beléptetés nem csak biztonságosabb, de jóval kényelmesebb is a karakterek állandó bepötyögésénél.
Ezért is vezette be a Microsoft a Windows Hello protokollt, melynek arcazonosítási megoldása ma már több mint 150 millió eszközt véd. A jelek szerint azonban a technológia közel sem olyan megbízható, mint ahogy azt a redmondiak állítják, a CyberArk biztonsági cég ugyanis komoly sérülékenységre bukkant benne.
A probléma megértéséhez tömören tisztázni kell a Windows Hello használatának hardveres feltételét: a Microsoft csak olyan webkamerákkal engedélyezi a szolgáltatást, amelyek a hagyományos RGB-képalkotás mellett infravörös szenzorral is bírnak. Ezzel elméletben pontosabb és nehezebben átverhető az azonosítás, a CyberArk viszont felfedezte, hogy a Windows Hello a gyakorlatban csak az infravörös képet vizsgálja.
A kutatók ezen a nyomon elindulva rájöttek, hogy egy támadónak csupán be kell juttatnia a rendszerbe egy saját maga által kiválasztott fotót és egy fekete képkockát az USB-kamerán keresztül, és a Windows Hello zöld utat kínál a hackereknek.
A sérülékenység gyakorlati kihasználását megnehezíti, hogy fizikai hozzáférést igényel a számítógéphez, és persze a támadónak is rendelkeznie kell egy jó minőségű infravörös képpel az áldozatról. Omer Tsarfati, a CyberArk kutatója szerint viszont egy "nagyon motivált" hackernek ez nem okoz különösebb problémát.
A Microsoft reagált a felfedezésre, és kedden kiadta a CVE-2021-34466 sorozatszámon nyilvántartásba vett sérülékenység javítását. A vállalat egyúttal azt is javasolja a felhasználóknak, hogy aktiválják a Windows Hello fejlesztett biztonsági bejelentkezését, ami titkosítással védi az arcazonosításhoz használt információkat.
A CyberArk azonban arra figyelmeztet, hogy a probléma gyökere valójában a rendszer és a külső partnerek által gyártott kamerák közti veszélyes bizalom. A redmondiak ugyanis a minél szélesebb körű elérhetőség érdekében nem szankcionálják, hogy mely gyártók eszközeivel működik a Windows Hello, így nem is tudnak olyan, biztonságosabb hardverekre építeni, mint például az Apple, amely saját szenzorokra alapozza a Face ID nevű megoldását.
A szakértők ezért azt javasolják, hogy Microsoftnak legalább valamiféle hivatalos jelzéssel kellene ellátnia a megfelelő védelmet nyújtó webkamerákat, amivel a felhasználók könnyebben eligazodhatnának, hogy melyik eszközökkel gondoskodhatnak hatékonyan a biztonságukról.
