7 月 13 日,CyberArk 報告揭露 Windows Hello 人臉辨識功能的一項漏洞,駭客只需目標臉部的單張紅外線影格(IR Frame),即可成功破解微軟的無密碼驗證系統。
Windows Hello 涵蓋三種驗證方式:PIN、指紋掃描、人臉辨識。其中,人臉辨識需要搭配具有生物辨識感測器的裝置才能順利運作, 包括內建 RGB 鏡頭與紅外線(IR)鏡頭。譬如筆電的 IR 鏡頭,或者生物識別 USB 裝置。
具體而言,駭客只需一個特製的 USB 裝置,以及目標臉部的紅外線照片即可騙過系統。CyberArk 研究人員表示,特製的 USB 裝置內建標準的紅外線鏡頭與 RGB 鏡頭,插入電腦後,即可順利在登錄畫面啟用人臉辨識功能。
接著,特製的 USB 裝置會傳給系統兩張照片,一張是目標臉部的紅外線影格,另一張是任意的彩色(RGB)照片。研究人員發現, Windows Hello 在人臉辨識過程中,真正需要的是一張有效的紅外線人臉影格,因此研究人員甚至使用海綿寶寶圖片,來替代彩色照片。
不過,這項手法的難度在於,駭客如何獲得目標臉部的紅外線圖片?根據報告,主要方式有兩種,一是透過紅外線相機獲得目標正面臉部的紅外線照片;其次是將彩色照片轉換為紅外線照片。後者技術門檻較高,但不無可能。
目前,全球有 13 億名 Windows 使用者。根據微軟去年 12 月統計,Windows 10 裝置使用 Windows Hello 的比例達 84.7%。雖然官方未透露人臉辨識、PIN、指紋辨識各自的使用比例。但即使使用人臉辨識的比例相對較少,影響範圍依舊很可觀。
所幸,微軟已於 7 月 13 日推出對應該漏洞的更新。同時,CyberArk 也計畫在 Black Cat 2021 上揭露更多相關資訊及該官方更新做了哪些應變措施。
