נמצאה חולשת אבטחה במנגנון האימות הביומטרי של מיקרוסופט
החולשה מאפשרת לכל המעוניין לעקוף את Windows Hello – בלא מסכות, או ניתוח פלסטי ● עומר צרפתי, חוקר במעבדות סייברארק, "כל מערכת אימות, שמאפשרת חיבור מכשיר מצלמה USB של צד שלישי כחיישן ביומטרי - עלול להיות יעד למתקפה"
נחשפה חולשת אבטחה במנגנון האימות הביומטרי של מיקרוסופט, Windows Hello.
חוקרי מעבדות סייברארק (CyberArk Labs) בחנו את היבטי האבטחה שמאחורי מנגנון זיהוי הפנים של Windows Hello ומצאו חולשה, המאפשרת לעקוף את המנגנון – כך שגם מי שאינו מורשה, יכול להיכנס למחשב.
Windows Hello מאפשר למשתמשים כניסה למחשב שלהם באמצעות טכנולוגית זיהוי פנים. במקום להכניס סיסמה, כל מה שהמשתמש צריך לעשות זה להסתכל על המסך שלו. המדובר באחת ממערכות האימות בלא-סיסמה הפופולריות ביותר. לפי מיקרוסופט, 85% ממשתמשי Windows 10 משתמשים במנגנון זה.
מנגנון אימות הזהות של Windows Hello כולל שימוש בשני סוגים של תמונות: צילום תמונה רגילה ותמונת אינפרא-אדום. זאת, כדי לוודא לפי חום גוף, שיש כאן אדם אמיתי ולא רק תמונה פיקטיבית. החוקרים גילו שהמנגנון של Hello לא מתייחס לתמונה הרגילה, אלא רק לתמונת האינפרא-אדום, וגם בה – רק לחלקים מסוימים שמאפיינים את אותו אדם. הם צילמו תמונת IR של המשתמש המותקף, ובעזרת USB חיצוני שלחו אותה למערכת לצורך אימות, וכך עקפו את המנגנון.
לדברי עומר צרפתי, חוקר במעבדות סייברארק, "במהלך המחקר גילינו כי החולשה מאפשרת לתוקף עם גישה פיזית למכשיר לזייף את תהליך האימות. הוא יכול לעשות זאת על ידי ייצור תמונה של פניו של הקורבן, ובהמשך – חיבור של מכשיר USB שהותאם במיוחד, כדי להזריק את התמונות המזויפות למנגנון האימות". לדברי צרפתי, "מתקפה מסוג זה עלולה לשרת תוקף שמכוון למגוון סוגי קורבנות, ביניהם: חוקר, מדען, עיתונאי, פעיל חברתי (אקטיביסט) או משתמש פריבילגי בעל קניין רוחני רגיש".
פורסם תיקון תוכנה שמפחית את משטח המתקפה
צרפתי סיים בציינו כי "אף שהמחקר שלנו התמקד במנגנון האימות של מיקרוסופט, ובגרסה הארגונית,
Windows Hello for Business, הרי שכל מערכת אימות, שמאפשרת חיבור מכשיר מצלמה USB של צד שלישי כחיישן ביומטרי – עלול להיות יעד למתקפה".
לפי החוקרים, "באמצעות הטכניקה הזו, כל מנגנון אימות שסומך על מצלמת USB חיצונית – נמצא בסיכון ועלול לאפשר גישה למחשב של המשתמש הנתקף ולרשת אליה הוא מחובר".
צוות מעבדות סייברארק דיווח למיקרוסופט על החולשה שמצא וסייע במציאת צעדים להפחתת הסכנה לארגונים ברחבי העולם. בעקבות העדכון, מיקרוסופט פרסמה תיקון תוכנה שמפחית את משטח המתקפה. התיקון של מיקרוסופט מגביל את סוגי המצלמות שניתן לחבר למחשב ומאפשר הגבלה לשימוש במצלמות מובנות בלבד, כך שלא יהיה ניתן לחבר מכשיר USB חיצוני. החוקרים ציינו כי "צעדים אלה מקשים על מימוש התקיפה – אבל לא מונעים אותה לחלוטין".
הסברים וסרטון אודות החולשה: Bypassing Windows Hello Without Masks or Plastic Surgery
תגובות
(0)