消息称 Windows Hello 可被伪造摄像头欺骗

黑客们已经证明,他们能够通过使用假的 USB 摄像头绕过 Windows Hello 的安全设定,该摄像头主要传输捕获的目标的红外线图片,而 Windows Hello 似乎很乐意接受它。

问题似乎是出在 Windows Hello 愿意接受任何具有红外功能的摄像头作为 Windows Hello 摄像头,使黑客能够向 PC 提供一个经过操纵而不是真实的数据。

消息称Windows Hello可被伪造摄像头欺骗

此外,事实证明,黑客只需向 PC 发送两帧 – 一帧是目标的真实红外捕捉数据,另一帧是空白黑帧,第二帧是用来欺骗 WindowsHello 的有效性验证的。

CyberArk 实验室说,红外图像可以由特殊的远距离红外相机或偷偷放在目标环境中的相机捕获,如电梯。

消息称Windows Hello可被伪造摄像头欺骗

微软已经在 CVE-2021-34466 号公告中承认了这个漏洞,并提供了 Windows Hello 签到安全增强作为缓解措施。这只允许作为原始设备制造商的加密信任链一部分的 Windows Hello 摄像头被用作数据源,但 CyberArk 同时又注意到并非所有设备都支持这一功能。

消息称Windows Hello可被伪造摄像头欺骗
(0)
余渝的头像余渝

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注