Các nhà nghiên cứu bảo mật đánh lừa Windows Hello như thế nào?

Hữu Thắng15:52 19/07/2021

Microsoft đã thiết kế Windows Hello để tương thích với webcam tích hợp cảm biến hồng ngoại (IR) của nhiều thương hiệu, nhưng chính điều này đã tạo ra kẽ hở khiến nó dễ bị các tác nhân xấu tấn công hơn.

Tính năng mở khóa bằng Windows Hello khá phổ biến trên các máy tính đời mới

Theo báo cáo của Wired , các nhà nghiên cứu từ công ty bảo mật CyberArk đã tìm ra cách đánh lừa hệ thống nhận dạng khuôn mặt Hello của Windows bằng cách sử dụng hình ảnh khuôn mặt của chủ sở hữu máy tính. Thông thường, Windows Hello yêu cầu sử dụng camera có cả cảm biến màu RGB và cảm biến hồng ngoại, nhưng khi nghiên cứu kỹ hệ thống xác thực này thì các nhà nghiên cứu nhận thấy nó chỉ tập trung xử lý các khung hình thu thập được từ cảm biến hồng ngoại.

Video đang HOT

Để xác nhận phát hiện này, các nhà nghiên cứu đã tạo ra một thiết bị USB tùy chỉnh, họ tải các ảnh hồng ngoại của người dùng và ảnh màu RGB của Spongebob – một nhân vật hoạt hình. Windows Hello đã nhận dạng thiết bị là một camera giao tiếp qua cổng USB và nó đã mở khóa thành công chỉ bằng ảnh hồng ngoại của người dùng mà không hề “đếm xỉa” tới ảnh màu RGB “sai lệch” kia. Thậm chí, các nhà nghiên cứu phát hiện ra rằng họ không cần quá nhiều hình ảnh IR, thực tế chỉ cần một khung hình IR cùng một ảnh màu đen là có thể mở khóa máy tính được bảo mật bằng Windows Hello.

Dù thực tế việc đột nhập máy tính của ai đó bằng cách này sẽ rất khó để thực hiện vì vẫn cần ảnh hồng ngoại của khuôn mặt người dùng. Nhưng đây vẫn là một điểm yếu có thể bị lợi dụng, trong bối cảnh các công ty cần đảm bảo các công nghệ xác thực của họ an toàn khi ngày càng phụ thuộc nhiều vào sinh trắc học hơn là mật khẩu. Nhóm bảo mật CyberArk đã chọn Windows Hello để thử nghiệm vì đây là một trong những hệ thống xác thực sinh trắc học được sử dụng rộng rãi nhất.

Đáp lại thông tin này, Microsoft đã phát hành các bản vá cho “lỗ hổng bỏ qua tính năng bảo mật của Windows Hello”, công ty cũng gợi ý người dùng nên chuyển qua tính năng bảo mật nâng cao “Windows Hello enhanced sign-in security” nhằm mã hóa dữ liệu khuôn mặt và lưu trữ nó bằng chip bảo mật riêng.

Microsoft sửa lỗi bỏ qua xác thực Windows Hello

Microsoft đã giải quyết lỗ hổng bảo mật bỏ qua xác thực trong công nghệ dựa trên sinh trắc học xác thực Windows Hello, cho phép các tác nhân đe dọa giả mạo danh tính của mục tiêu và đánh lừa cơ chế nhận dạng khuôn mặt.

Lỗ hổng của Windows Hello đã được vá

Theo Microsoft, số lượng khách hàng sử dụng Windows 10 sử dụng Windows Hello để đăng nhập vào thiết bị của họ thay vì mật khẩu đã tăng từ 69,4% lên 84,7% trong năm 2019.

Theo phát hiện của các nhà nghiên cứu bảo mật của CyberArk Labs, những kẻ tấn công có thể tạo thiết bị USB tùy chỉnh mà Windows Hello sẽ hoạt động để phá vỡ hoàn toàn cơ chế nhận dạng khuôn mặt của Windows Hello bằng cách sử dụng một khung IR (hồng ngoại) hợp lệ của mục tiêu.

Tsarfati đã báo cáo lỗ hổng Windows Hello được theo dõi là CVE-2021-34466 và đánh giá là Important (mức độ nghiêm trọng) quan trọng đối với Microsoft vào tháng 3. Dựa trên đánh giá của Microsoft về lỗ hổng bảo mật, các đối thủ không được xác thực yêu cầu quyền truy cập vật lý vào thiết bị của mục tiêu để khai thác nó trong các cuộc tấn công có độ phức tạp cao.

Microsoft đã phát hành bản cập nhật bảo mật Windows 10 để giải quyết lỗ hổng bảo mật có tên CVE-2021-34466 Windows Hello Security Feature Bypass Vulnerability như một phần của bản vá thứ ba tháng 7.2021. Theo công ty, khách hàng của Windows Hello có phần cứng cảm biến sinh trắc học và trình điều khiển có hỗ trợ Enhanced Sign-in Security sẽ không bị ảnh hưởng bởi các cuộc tấn công lạm dụng lỗ hổng bảo mật này.

Các nhà nghiên cứu của CyberArk sẽ trình bày những phát hiện của họ tại Black Hat 2021 vào ngày 4 và 5.8 sắp tới.

Cảnh báo 5 lỗ hổng bảo mật mức cao và nghiêm trọng trong các sản phẩm Microsoft Năm lỗ hổng bảo mật trong những sản phẩm Windows Print Spooler, Microsoft Exchange Server và Windows Certificate cho phép đối tượng tấn công thực thi mã từ xa, vừa được Bộ TT&TT cảnh báo đến các cơ quan, tổ chức, doanh nghiệp nhà nước. Ngày 16/7, Bộ TT&TT đã có văn bản gửi các bộ, ngành, địa phương; Văn phòng Trung ương...

Bạn thấy bài viết này có hữu ích không?

Có

Không

Tin liên quan

Xem thêm Share

Xem nhiều

Clip hot: Mỹ nhân Việt đẹp chấn động trên thảm đỏ LHP quốc tế Tokyo, chỉ 1 nụ cười mà khiến vạn vật đều nở hoa00:37

Khoa Pug phủ nhận tin đồn bị bắt, tịch thu hết bitcoin, Vương Phạm thái độ sốc02:36

Bí mật phi hành gia NASA tiết lộ sau 340 ngày ngoài vũ trụ, khiến TG kinh ngạc02:37

Lương Thùy Linh từng giành chồng với Phương Nhi, giờ nghi yêu thiếu gia Bắc Giang02:30

Gió ngang khoảng trời xanh tập 35: Linh khiến Đăng rơi vào thế khó xử02:58

Khoảnh khắc đoàn xe tải làm 'lá chắn' giúp người đi xe máy vượt lũ gây xúc động00:57

Charlie Puth chuẩn bị đón con đầu lòng, đồng thời tiết lộ về album mới02:42

Gin Tuấn Kiệt tiết lộ cuộc sống sau khi có con, nói 1 điều về Puka, CĐM té ngửa!02:26

MC Thanh Bạch khiến công chúng "bối rối" về phong cách gần đây, khán giả sốc02:39

Đàm Vĩnh Hưng được "Cục trưởng" Xuân Bắc chỉnh đốn, vội xóa bình luận02:36

Lưu Diệc Phi hầu rượu để nổi tiếng, Phạm Băng Băng đổi tình lấy tiền, cbiz sốc?02:30

Tiêu điểm

Tin đang nóng

Tin mới nhất

Gemini Canvas giúp tạo slide tiện lợi

09:18:28 28/10/2025

Công cụ mới của Google có thể chuyển đổi tài liệu hoặc văn bản đơn giản thành slide (bài thuyết trình) có cấu trúc chặt chẽ. Tính năng này cho phép người dùng tạo ra các slide với thiết kế và hình ảnh sẵn có, sẵn sàng để xuất sang Googl...

Phòng thí nghiệm AI đẩy nhanh các đột phá khoa học

09:15:28 28/10/2025

Zou hy vọng đây chỉ là khởi đầu. Nhóm của ông hiện đang tìm hiểu cách sử dụng phòng thí nghiệm ảo cho nhiều vấn đề sức khỏe khác - như ung thư, lão hóa và những bệnh hiếm gặp.

Qualcomm trình làng chip AI cạnh tranh với AMD và Nvidia

09:12:12 28/10/2025

Qualcomm cho biết chip của họ tập trung vào suy luận, tức là chạy các mô hình AI, thay vì đào tạo, vốn là cách những phòng thí nghiệm như OpenAI tạo ra các khả năng AI mới bằng cách xử lý hàng terabyte dữ liệu.

Cách dùng AI chỉnh sửa ảnh bằng câu lệnh trên Google Photos

18:29:47 26/10/2025

Khám phá tính năng Help me edit mới trên Google Photos cho Android. Chỉ cần dùng các câu lệnh tiếng Anh đơn giản, bạn có thể xóa vật thể, thay đổi ánh sáng và hơn thế nữa.

Đau đầu với "yếu tố thay đổi cuộc chơi" mang tên AI

18:26:02 26/10/2025

Sự bùng nổ của AI đã dẫn đến một cách tiếp cận tất cả cùng lúc trong đầu tư năng lượng. Các nguồn năng lượng sạch như địa nhiệt, năng lượng thủy triều, và thậm chí là năng lượng hạt nhân tiên tiến đang nhận được sự quan tâm mới.

Pixel 10 Pro: Trải nghiệm AI liền mạch, vượt xa chatbot

15:10:33 26/10/2025

Pixel 10 Pro tích hợp sâu AI vào mọi tác vụ hàng ngày, từ trợ lý Magic Cue thông minh đến chỉnh sửa ảnh tức thì, định nghĩa lại khái niệm điện thoại AI.

Trình duyệt ChatGPT Atlas: Thách thức mới cho sự thống trị của Google

15:07:33 26/10/2025

Điểm khác biệt cốt lõi của Atlas là đặt ChatGPT vào vị trí trung tâm của trải nghiệm duyệt web. Ngay khi mở trình duyệt, thanh tìm kiếm mặc định là ChatGPT, không phải Google.

Windows XP là biểu tượng không thể thay thế của Microsoft?

12:39:55 26/10/2025

Khi nhắc đến Windows, thật khó để bỏ qua những phiên bản đã làm nên tên tuổi hệ điều hành của Microsoft, đặc biệt với cái tên không thể quên là Windows XP.

Google "dạy" Gemini kiên nhẫn hơn khi nghe người dùng nói

10:48:21 26/10/2025

Hiện tại, vẫn chưa rõ thời điểm những thay đổi này sẽ được áp dụng. Ứng dụng Gemini hiện có sẵn trên Google Play cho thiết bị Android và trên App Store cho iPhone.

Pin iPhone có thể kéo dài hơn với tính năng này trên iOS 26

13:39:53 25/10/2025

Tính năng này được đánh giá là một trong những thay đổi đáng chú ý trên iOS 26, hướng tới việc kéo dài tuổi thọ pin và nâng cao trải nghiệm sử dụng thực tế.

Microsoft "dằn mặt" người dùng cố bám Windows 10

13:33:03 25/10/2025

Công ty cũng lưu ý rằng các vi phạm liên quan đến cơ sở hạ tầng không được hỗ trợ thường có chi phí khắc phục cao hơn, thời gian ngừng hoạt động lâu hơn và tổn hại đến uy tín lớn hơn so với các cuộc tấn công vào nền tảng được hỗ trợ.

OpenAI với nước cờ then chốt

11:57:10 25/10/2025

Ngoài ra, Apple cung cấp nền tảng Foundation Models cung cấp quyền truy cập vào các mô hình AI cục bộ, cho phép những nhà phát triển tích hợp AI trực tiếp vào ứng dụng của họ.