Microsoft<\/p>\n
CyberArkin tietoturvatutkijat<\/a> onnistuivat ohittamaan Windows Hello -kasvojentunnistuksen k\u00e4ytt\u00e4m\u00e4ll\u00e4 v\u00e4\u00e4rennetty\u00e4 verkkokameraa, joka pumppaa infrapunatiedot tietokoneeseen. T\u00e4m\u00e4n hyv\u00e4ksik\u00e4yt\u00f6n taustalla oleva prosessi on suhteellisen yksinkertainen, vaikka se ei ole vakava huolenaihe keskivertoihmiselle, koska se vaatii James Bond -tyyppist\u00e4 taktiikkaa.<\/p>\n Windows Hello varmistaa, ett\u00e4 k\u00e4ytt\u00e4j\u00e4t n\u00e4kev\u00e4t kasvonsa 3D-kartan infrapunavedolla<\/a>, mink\u00e4 vuoksi todennusj\u00e4rjestelm\u00e4\u00e4 ei voi huijata tulostetulla valokuvalla. Voit silti sy\u00f6tt\u00e4\u00e4 Windows Hello -todennusj\u00e4rjestelm\u00e4n "kelvollisia" kuvia USB-laitteesta, kunhan se teeskentelee olevansa kamera, jossa on IR- ja RGB-anturi.<\/p>\n CyberArk-tiimi havaitsi, ett\u00e4 Windows Hello vaatii yhden IR- ja RGB-kuvan k\u00e4ytt\u00e4j\u00e4n vahvistamiseksi. Joten he ladasivat USB-laitteelleen kelvollisen IR-lukeman Windows-k\u00e4ytt\u00e4j\u00e4n kasvoista sek\u00e4 RGB-kuvan Paavosta. Lukittuun tietokoneeseen kytketty USB-laite mursi Windows Hellon.<\/p>\n Ilmeisesti Windows Hello ei varmista, ett\u00e4 IR-kuvat ovat per\u00e4isin live-sy\u00f6tteest\u00e4, eik\u00e4 se tarkista mink\u00e4 tahansa sen RGB-kuvan sis\u00e4lt\u00f6\u00e4 (CyberArk sanoo, ett\u00e4 RGB-vaatimus on luultavasti olemassa huijauksen est\u00e4miseksi). Perusteellisempi j\u00e4rjestelm\u00e4 todenn\u00e4k\u00f6isesti hidastaisi Windows Hello -kirjautumisprosessia, mik\u00e4 saattaa ep\u00e4onnistua joidenkin k\u00e4ytt\u00e4jien kohdalla.<\/p>\n CyberArkin tiimi sanoo, ett\u00e4 hakkerit eiv\u00e4t todenn\u00e4k\u00f6isesti ole koskaan k\u00e4ytt\u00e4neet t\u00e4t\u00e4 hyv\u00e4ksik\u00e4ytt\u00f6\u00e4, mik\u00e4 on j\u00e4rkev\u00e4\u00e4. Jotta t\u00e4m\u00e4 onnistuisi, hakkeri tarvitsee fyysisen p\u00e4\u00e4syn tietokoneeseen, jossa on Windows Hello, sek\u00e4 l\u00e4hes IR-kuvan k\u00e4ytt\u00e4j\u00e4st\u00e4. Joten sen lis\u00e4ksi, ett\u00e4 hakkeri varastaa kannettavan tietokoneen tai livahtaa rakennukseen, h\u00e4nen on otettava sinusta infrapunakuvia suhteellisen lyhyelt\u00e4 et\u00e4isyydelt\u00e4.<\/p>\n Mik\u00e4\u00e4n n\u00e4ist\u00e4 ei ole mahdotonta, ja se voi olla suhteellisen helppoa, jos olet hakkeri, jolla on vakava ty\u00f6moraali, valtion palkkalistoilla oleva agentti tai tyytym\u00e4t\u00f6n ty\u00f6ntekij\u00e4, joka yritt\u00e4\u00e4 kiusata ty\u00f6nantajaasi. Mutta t\u00e4ss\u00e4 on viel\u00e4 paljon pieni\u00e4 esteit\u00e4. Toimistot, jotka suhtautuvat vakavasti turvallisuuteen, piilottavat ty\u00f6p\u00f6yd\u00e4n USB-portit h\u00e4kkien taakse esimerkiksi henkil\u00f6kohtaisten hy\u00f6kk\u00e4ysten est\u00e4miseksi, ja sinulla voi olla vaikeuksia p\u00e4\u00e4st\u00e4 k\u00e4siksi arkaluonteisiin tietoihin suojatussa tietokoneessa tai verkossa, vaikka ohittaisit lukitusn\u00e4yt\u00f6n.<\/p>\n Microsoft on tunnistanut<\/a> t\u00e4m\u00e4n hyv\u00e4ksik\u00e4yt\u00f6n ja sanoo, ett\u00e4 korjaustiedosto julkaistiin hein\u00e4kuun 13. p\u00e4iv\u00e4n\u00e4 (vaikka yrityksill\u00e4 saattaa kest\u00e4\u00e4 hetken ennen kuin korjaustiedosto asennetaan). Yritys huomauttaa my\u00f6s, ett\u00e4 Windows Hello Enhanced Sign-in Security -suojausta k\u00e4ytt\u00e4v\u00e4t yritykset on suojattu kaikilta laitteistoilta, joita niiden j\u00e4rjestelm\u00e4nvalvojat eiv\u00e4t ole etuk\u00e4teen hyv\u00e4ksyneet \u2013 tietysti, jos yrityksen k\u00e4ytt\u00e4m\u00e4t laitteistot ovat turvattomia, Enhanced Sign-in. Turvallisuus voi vaarantua.<\/p>\n CyberArk kertoo esittelev\u00e4ns\u00e4 kaikki Windows Hello -l\u00f6yt\u00f6ns\u00e4 Black Hat 2021 -tapahtumassa<\/a>, joka j\u00e4rjestet\u00e4\u00e4n 4. ja 5. elokuuta.<\/p>\n L\u00e4hde: CyberArk<\/a> Windows Centralin<\/a> kautta<\/a><\/p>\n