Разрабатывая систему Windows Hello, компания Microsoft стремилась обеспечить простой и надежный способ аутентификации, одновременно решая задачу обеспечения совместимости с веб-камерами различных брендов. По последним данным, в системе есть уязвимое место, которое обнаружили исследователи из компании CyberArk, занимающейся вопросами компьютерной безопасности. Им удалось обмануть систему распознавания лиц Hello, используя изображения лица владельца компьютера.
Для Windows Hello требуется камера, работающая в видимом и инфракрасном диапазонах, но изучение работы системы позволило исследователям сделать вывод, что фактически обрабатываются только инфракрасные кадры. Чтобы проверить свой вывод, исследователи создали специальное USB-устройство, в которое загрузили инфракрасные фотографии пользователя и изображения Губки Боба в формате RGB. Система распознала устройство как USB-камеру и разблокировалась. Более того, достаточно оказалось одного изображения, сделанного в инфракрасном диапазоне, и полностью черного кадра.
Конечно, в реальности взломать чей-то компьютер с помощью этой техники было бы не так уж просто, поскольку злоумышленнику нужна ИК-фотография пользователя. И хотя при необходимости ее все-таки можно заполучить, сейчас это уже неважно при условии своевременной установки обновлений: 13 июля компания Microsoft выпустила «заплатку» для Windows 10, устраняющую описанную уязвимость.