許可されていないユーザーがデータにアクセスするのを防ぐために、PCセッションを正しく保護することの重要性を常に主張しています。 長くて複雑なパスワードを使用することは、最終的には最良のオプションですが、実用性も最も低くなります。 したがって、の到着とともに Windows 10、 Microsoft PCにすばやく簡単に、可能な限り安全な方法でログインできるようにする一連の生体認証ログインシステムを実装しました。 これは Windows Hello .
Windows Helloを使用すると、いくつかの異なる方法でPCにログインできます。 このプロセスで最も使用される手法は、 PIN 、クレジットカードコードと同様に、セッションのロックを解除するためにPCに入力できる4桁のコード。 を使用してログインすることもできます 指紋 (PCにリーダーがある場合)、 セキュリティキー PCのロックを即座に解除し、さらには ウェブカメラ 、赤外線を使用して、顔を認識し、PCに入ることができます。
当初、これらの高度なログインシステムは安全であり、PCを危険にさらすことは想定されていません。 しかし、彼らは顔認識システムをだます方法を見つけました。
これは彼らが偽のウェブカメラでWindowsHelloをだますことができる方法です
ハッカーのグループは、それがいかに簡単かを示すことができました 偽のUSBウェブカメラを作成することです 、に似たマイクロコンピューターを使って ラズベリーパイは、この目的のために設計された赤外線画像をWindowsHelloコントローラーに直接送信する役割を果たします。 そして、彼は問題なくそれらを受け入れます。
問題は、デフォルトで、Windows Helloが、赤外線をサポートするすべてのカメラがWindowsHelloカメラであることをサポートしていることです。 他の方法をチェックしたり、「安全」と見なされる他の要件はありませんが、赤外線を使用するだけで、すでに顔認識に使用できます。
このサイバー攻撃を実行できるようにするために必要なのは、 赤外線キャプチャ 問題の人の 白黒で同じの写真 。 前者は識別システムとして使用され、後者は「生命の証明」です。
ハッカーは得ることができます 人のIR画像 多くの異なる方法で。 たとえば、長距離の赤外線キャプチャを撮影したり、エレベーターなどの人の環境に秘密のカメラを配置したりできます。
マイクロソフトは失敗を認めました
マイクロソフトは、すでにとして登録されているセキュリティの問題をすぐに認めています CVE-2021-34466 。 同社はこのセキュリティ上の欠陥(確かに複雑なもの)を軽減する方法を見つけていますが、Microsoftはユーザーに強化されたログインセキュリティをオンにすることを推奨しています。 おかげで、 OEMの信頼できるカメラ WindowsHello認証システムとして使用できます。
このように、外部USBカメラは画像を挿入できず、ログインシステムをだますことができませんでした。 残念ながら、Microsoftによって検証されたOEMカメラのリストは非常に少なく、問題が発生する可能性があります。
今のところWindowsHelloをアクティブにしたくない場合は、PINまたは指紋を使用してログインすることもできます。
