Các nhà nghiên cứu bảo mật đánh lừa Windows Hello như thế nào?

Hữu Thắng15:52 19/07/2021

Microsoft đã thiết kế Windows Hello để tương thích với webcam tích hợp cảm biến hồng ngoại (IR) của nhiều thương hiệu, nhưng chính điều này đã tạo ra kẽ hở khiến nó dễ bị các tác nhân xấu tấn công hơn.

Tính năng mở khóa bằng Windows Hello khá phổ biến trên các máy tính đời mới

Theo báo cáo của Wired , các nhà nghiên cứu từ công ty bảo mật CyberArk đã tìm ra cách đánh lừa hệ thống nhận dạng khuôn mặt Hello của Windows bằng cách sử dụng hình ảnh khuôn mặt của chủ sở hữu máy tính. Thông thường, Windows Hello yêu cầu sử dụng camera có cả cảm biến màu RGB và cảm biến hồng ngoại, nhưng khi nghiên cứu kỹ hệ thống xác thực này thì các nhà nghiên cứu nhận thấy nó chỉ tập trung xử lý các khung hình thu thập được từ cảm biến hồng ngoại.

Video đang HOT

Để xác nhận phát hiện này, các nhà nghiên cứu đã tạo ra một thiết bị USB tùy chỉnh, họ tải các ảnh hồng ngoại của người dùng và ảnh màu RGB của Spongebob – một nhân vật hoạt hình. Windows Hello đã nhận dạng thiết bị là một camera giao tiếp qua cổng USB và nó đã mở khóa thành công chỉ bằng ảnh hồng ngoại của người dùng mà không hề “đếm xỉa” tới ảnh màu RGB “sai lệch” kia. Thậm chí, các nhà nghiên cứu phát hiện ra rằng họ không cần quá nhiều hình ảnh IR, thực tế chỉ cần một khung hình IR cùng một ảnh màu đen là có thể mở khóa máy tính được bảo mật bằng Windows Hello.

Dù thực tế việc đột nhập máy tính của ai đó bằng cách này sẽ rất khó để thực hiện vì vẫn cần ảnh hồng ngoại của khuôn mặt người dùng. Nhưng đây vẫn là một điểm yếu có thể bị lợi dụng, trong bối cảnh các công ty cần đảm bảo các công nghệ xác thực của họ an toàn khi ngày càng phụ thuộc nhiều vào sinh trắc học hơn là mật khẩu. Nhóm bảo mật CyberArk đã chọn Windows Hello để thử nghiệm vì đây là một trong những hệ thống xác thực sinh trắc học được sử dụng rộng rãi nhất.

Đáp lại thông tin này, Microsoft đã phát hành các bản vá cho “lỗ hổng bỏ qua tính năng bảo mật của Windows Hello”, công ty cũng gợi ý người dùng nên chuyển qua tính năng bảo mật nâng cao “Windows Hello enhanced sign-in security” nhằm mã hóa dữ liệu khuôn mặt và lưu trữ nó bằng chip bảo mật riêng.

Microsoft sửa lỗi bỏ qua xác thực Windows Hello

Microsoft đã giải quyết lỗ hổng bảo mật bỏ qua xác thực trong công nghệ dựa trên sinh trắc học xác thực Windows Hello, cho phép các tác nhân đe dọa giả mạo danh tính của mục tiêu và đánh lừa cơ chế nhận dạng khuôn mặt.

Lỗ hổng của Windows Hello đã được vá

Theo Microsoft, số lượng khách hàng sử dụng Windows 10 sử dụng Windows Hello để đăng nhập vào thiết bị của họ thay vì mật khẩu đã tăng từ 69,4% lên 84,7% trong năm 2019.

Theo phát hiện của các nhà nghiên cứu bảo mật của CyberArk Labs, những kẻ tấn công có thể tạo thiết bị USB tùy chỉnh mà Windows Hello sẽ hoạt động để phá vỡ hoàn toàn cơ chế nhận dạng khuôn mặt của Windows Hello bằng cách sử dụng một khung IR (hồng ngoại) hợp lệ của mục tiêu.

Tsarfati đã báo cáo lỗ hổng Windows Hello được theo dõi là CVE-2021-34466 và đánh giá là Important (mức độ nghiêm trọng) quan trọng đối với Microsoft vào tháng 3. Dựa trên đánh giá của Microsoft về lỗ hổng bảo mật, các đối thủ không được xác thực yêu cầu quyền truy cập vật lý vào thiết bị của mục tiêu để khai thác nó trong các cuộc tấn công có độ phức tạp cao.

Microsoft đã phát hành bản cập nhật bảo mật Windows 10 để giải quyết lỗ hổng bảo mật có tên CVE-2021-34466 Windows Hello Security Feature Bypass Vulnerability như một phần của bản vá thứ ba tháng 7.2021. Theo công ty, khách hàng của Windows Hello có phần cứng cảm biến sinh trắc học và trình điều khiển có hỗ trợ Enhanced Sign-in Security sẽ không bị ảnh hưởng bởi các cuộc tấn công lạm dụng lỗ hổng bảo mật này.

Các nhà nghiên cứu của CyberArk sẽ trình bày những phát hiện của họ tại Black Hat 2021 vào ngày 4 và 5.8 sắp tới.

Cảnh báo 5 lỗ hổng bảo mật mức cao và nghiêm trọng trong các sản phẩm Microsoft Năm lỗ hổng bảo mật trong những sản phẩm Windows Print Spooler, Microsoft Exchange Server và Windows Certificate cho phép đối tượng tấn công thực thi mã từ xa, vừa được Bộ TT&TT cảnh báo đến các cơ quan, tổ chức, doanh nghiệp nhà nước. Ngày 16/7, Bộ TT&TT đã có văn bản gửi các bộ, ngành, địa phương; Văn phòng Trung ương...

Bạn thấy bài viết này có hữu ích không?

Có;

Không

Tin liên quan

Xem thêm Share

Xem nhiều

Sự thật ngỡ ngàng người đàn ông chui qua cửa kính taxi kêu cứu trên cao tốc00:46

Ca sĩ Lynda Trang Đài bị bắt ở Mỹ vì tội trộm cắp04:13

Clip em bé thất thần khi nộp tiền lì xì cho mẹ khiến dân mạng cười lăn00:14

Bất lực nhìn bóng mẹ rời xa, tiếng khóc xé lòng trong đêm cùng câu nói của bé gái khiến ai cũng nhói lòng00:17

Thấy con dâu đi làm xa vừa về đến cổng, mẹ chồng có phản ứng khiến ai cũng "đứng hình"00:21

Netizen tiết lộ Uông Tiểu Phi khóc thảm thiết trên máy bay sau khi vợ cũ Từ Hy Viên qua đời00:56

Đoạn video vỏn vẹn 20 giây từ camera của một gia đình lúc 4 giờ sáng khiến ai cũng phải bật khóc: Nhân vật chính lại là người không hề xuất hiện00:21

Bảo Anh gọi 1 Anh Trai là "thợ đụng", từng cùng tham gia band nhạc giao lưu Việt - Ấn rồi tan rã ngay lập tức05:26

Tiết lộ về nữ doanh nhân ở Hải Dương nhảy xuống hồ cứu 3 cháu bé02:38

Tro cốt Từ Hy Viên về đến Đài Loan, gia đình không tổ chức lễ viếng08:41

Mẹ Quang Hải tiết lộ cách khiến nàng dâu Chu Thanh Huyền chủ động chăm sóc nhan sắc cho mẹ chồng00:48

Tin đang nóng

Tin mới nhất

Nâng cao và biến đổi hình ảnh của bạn bằng trình chỉnh sửa video trực tuyến CapCut

15:45:56 16/01/2024

Đã đến lúc bỏ lại các công cụ chỉnh sửa cũ và chấp nhận giải pháp thay đổi cuộc chơi. Gặp gỡ Trình chỉnh sửa video trực tuyến CapCut - giải pháp sẽ nâng cao, nâng cao và cách mạng hóa thế giới sáng tạo nội dung trực quan của bạn

Cách đăng Facebook để có nhiều lượt thích và chia sẻ

22:01:27 21/12/2022

Chắc hẳn là ai trong chúng ta cũng luôn muốn các bài đăng trên Facebook có được nhiều lượt thích và chia sẻ. Tuy nhiên, làm thế nào để tối ưu bài đăng thì không phải ai cũng biết

Thêm nhiều bang của Mỹ cấm TikTok

21:03:46 21/12/2022

Louisiana và Tây Virginia là hai bang mới nhất cấm công chức sử dụng TikTok trên thiết bị công do lo ngại Trung Quốc có thể theo dõi người Mỹ và kiểm duyệt nội dung

Microsoft cấm khai thác tiền điện tử trên các dịch vụ đám mây để bảo vệ khách hàng

20:03:41 21/12/2022

Microsoft đã cập nhật thỏa thuận cấm khai thác tiền điện tử trên các dịch vụ trực tuyến của mình. Việc khai thác tiền điện tử trên dịch vụ của Microsoft cần có sự cho phép bằng văn bản của công ty, nhưng cũng chỉ nhằm mục đích thử nghiệ...

Facebook trấn áp hàng loạt công ty phần mềm gián điệp

20:01:24 21/12/2022

Meta (công ty mẹ của Facebook) cho biết họ đã ngăn chặn không dưới 200 hoạt động bí mật, trấn áp hàng loạt công ty phần mềm gián điệp kể từ năm 2017 tại khoảng 70 quốc gia

Meta đối mặt cáo buộc vi phạm các quy tắc chống độc quyền với mức phạt 11,8 tỷ đô

19:01:39 21/12/2022

Ủy ban Châu Âu - cơ quan điều hành của EU cho biết, đã phát hiện Meta vi phạm các quy tắc chống độc quyền của EU bằng cách bóp méo sự cạnh tranh trên thị trường quảng cáo trực tuyến. Meta có thể phải đối mặt với khoản tiền phạt lên tới ...

Không cần thăm dò, Musk nên sớm từ chức CEO Twitter

15:01:33 21/12/2022

Người dùng Twitter, các nhà đầu tư Tesla và chuyên gia phân tích trong ngành đều cho rằng Elon Musk nên sớm từ chức CEO Twitter

Đại lý Việt nhập iPhone 14 kiểu 'bia kèm lạc'

14:01:42 21/12/2022

Muốn nhập được các mẫu bán chạy như iPhone 14 Pro/Pro Max, các chuỗi đại lý bán lẻ ủy quyền của Apple bắt buộc phải nhập thêm hàng loạt phụ kiện đi kèm

Khai trương hệ thống vé điện tử và dịch vụ trải nghiệm thực tế ảo XR tại Quần thể Di tích Cố đô Huế

09:38:18 21/12/2022

Sáng 20/12, tại Ngọ Môn, Đại Nội Huế, Trung tâm Bảo tồn Di tích Cố đô Huế đã tổ chức Lễ Khai trương Hệ thống vé điện tử và dịch vụ trải nghiệm thực tế ảo XR

'Dở khóc dở cười' với tính năng trợ giúp người bị tai nạn ôtô của Apple

09:37:54 21/12/2022

Tính năng phát hiện tai nạn ôtô mới ra mắt trên Apple iPhone và Apple Watch sẽ tự động tìm kiếm sự trợ giúp từ bộ phận cấp cứu khi có nguy cơ xảy ra tai nạn