研究人員發現假USB攝像頭可繞過Windows Hello

Windows Hello是微軟在Windows 10系統上提供的一項智能生物識別系統，可通過用戶的面部、虹膜、或指紋等特征來解鎖Windows系統。不過近日有安全研究人員發現了該系統在面部識別方面的一項漏洞，可通過假USB攝像頭來繞過認證系統。

安全公司賽博亞克(CyberArk)的研究人員發現，Windows Hello要求設備具備一個RGB和一個紅外傳感器的攝像頭，而紅外傳感器收集的數據就是繞過Windows Hello驗證的關鍵。研究人員使用了一塊開發板制作了一個USB設備，該設備在系統中顯示為一個帶有RGB和紅外傳感器的USB攝像頭。但實際上，該設備只是發送預制的圖像幀：一些真實主人的紅外幀和一些海綿寶寶的RGB幀。經過幾次測試，研究人員發現，只需要一個紅外幀和一個普通的黑色RGB幀就可以騙過Windows Hello。

賽博亞克稱，該漏洞的存在是因為Windows Hello允許外部設備作為生物識別認證的數據源。對此，微軟別無選擇，因為并非所有的Windows設備都有內置的攝像頭或指紋傳感器。

好在目前使用該漏洞破解Windows設備還有一定難度，因為需要取得使用者的真實紅外信息。