使用假相机绕过 Windows Hello 身份验证

黑客已经证明,他们能够通过使用伪造的 USB 摄像头来绕过 Windows Hello 安全性,该摄像头传输目标的捕获红外图片,Windows Hello 似乎很乐意接受。
fake-windows-hello-camera

问题似乎是 Windows Hello 愿意接受任何具有 IR 功能的摄像头作为 Windows Hello 摄像头,从而允许黑客向 PC 提供操纵而非真实的数据流。

此外,事实证明,黑客只需要向 PC 发送两帧 – 一个目标的真实红外捕获,一个空白的黑色帧。似乎需要第二帧来欺骗 Windows Hello 的活性测试。

Windows-Hello-Blog-Image_Attack-Diagramjpg-2048x1153-1

Cyber​​Ark Labs 表示,红外图像可以通过特殊的远程红外摄像机或秘密放置在目标环境中的摄像机(例如电梯)捕获。

Microsoft 已在咨询 CVE-2021-34466 中识别出该漏洞,并提供 Windows Hello 增强登录安全性作为缓解措施。这仅允许作为来自 OEM 的加密信任链一部分的 Windows Hello 摄像头用作数据源,Cyber​​Ark 指出并非所有设备都支持这一点。

本站有些内容来自互联网,如有侵权可联系我删除!:云东方 » 使用假相机绕过 Windows Hello 身份验证

赞 (0) 打赏的不是钱,是情怀!

找乐子!

3+8=

打赏小费

支付宝扫一扫打赏

微信扫一扫打赏