研究:使用假的 USB 摄像头可绕过 Windows Hello 认证系统

IT之家 7 月 19 日消息 智能手机很早前就已经用上生物识别认证，如指纹和人脸，这些功能在笔记本电脑甚至台式机上也变得越来越普遍。

微软的 Windows Hello 系统试图为其桌面平台带来同样的便利和安全组合，而且在大多数情况下表现出色。然而，新的安全研究显示，Windows Hello 的人脸识别过程中有一个致命的漏洞，那就是可以通过使用定制的 USB 设备绕过认证。幸运的是，在现实生活中要想利用这一漏洞并没有那么简单。

CyberArk 的安全研究人员发现，要想愚弄 Windows Hello 系统非常简单，或者至少是其面部识别系统。Windows 要求个人电脑有一个带有 RGB 和红外传感器的摄像头，以便 Windows Hello 面部识别系统能够工作。然而，事实证明，只有红外传感器的数据才是绕过 Windows 安全系统的关键。

IT之家了解到，研究人员使用恩智浦的评估板开发了一个 USB 设备，将自己显示为一个带有 RGB 和红外传感器的 USB 摄像头。但实际上，该设备只是发送预制的图像帧：一些真实主人的红外帧和一些海绵宝宝的 RGB 帧。经过几次测试，研究人员发现，他们真的只需要一个红外帧和一个普通的黑色 RGB 帧来欺骗 Windows Hello。

据 CyberArk 称，该漏洞的存在是因为 Windows Hello 允许外部设备作为生物识别认证的数据源。一方面，微软别无选择，因为并非所有的 Windows PC 都有内置的摄像头或指纹传感器。另一方面，研究证明，它也是本应是万无一失的安全系统中最薄弱的环节。

幸运的是，要想利用这个漏洞，攻击者需要获得目标脸部的红外图像，而这并不容易。此外，他们还需要对台式机或笔记本电脑进行物理接触。