德國安全公司SYSS研究人員顯示,某些情況下,微軟生物辨識驗證功能Windows Hello可被列印出來的大頭照騙過。
Windows Hello是包含於Windows 10的生物辨識驗證技術,包括指紋及人臉辨識功能。臉部辨識應用是結合Windows Hello的近紅外線影像辨識與相容第三方攝影機,達成驗證及解鎖Windows 裝置及Microsoft Passport的目的 。
微軟選用近紅外線影像是因為它可在低光源環境下作用,而紅外線影像一般無法在相片或電腦螢幕上顯示出來。
Windows Hello在2016年釋出的周年更新(1607版)以後版本加入具備強化防騙(enhanced anti-spoofing)功能,也要求第三方攝影機必須支援。不過這項功能僅在周年更新(Anniversary Update, 1607版)為預設開啟,到了2017年的創作者更新(Creators Update,1703版)及秋季創作者更新(Fall Creators Update,1709版)皆為預設關閉。
在一項測試中,SYSS兩名研究人員Matthias Deeg與Philipp Buchegger將近紅外線攝影機拍攝的授權用戶的大頭照相片以不同解析度和色彩列印出來,再拿去上鎖的Windows PC上的相機驗證,竟然可以騙過某些PC組態下的Windows Hello驗證而解鎖裝置。
在測試環境下,他們使用了搭載LilBit USB相機的Dell Latitude及Surface Pro 4兩款硬體,測試周年更新(1607版)、創作者更新(1703版)及秋季創作者更新(1709版),以及最早期的1511版上的Windows Hello。此外,他們還測試在有/無開啟強化防騙功能的情況。
測試結果顯示,在未開啟強化防騙功能情況下,所有版本Windows Hello都被突破。而在1607版本中,即使開啟了強化防騙功能,Windows Hello仍然被騙過,不過這需要多一點攻擊技巧。但如果是在最新的創作者更新及秋季創作者更新之中將這項進階功能開啟,就可以阻擋攻擊。
不過這樣還不夠;研究人員指出,即使使用者開啟了Windows Hello的強化防騙,若第三方攝影機未支援的話,依然能被操弄過的相片唬弄。
研究人員建議Windows 10裝置用戶最好能開啟Windows Hello的強化防騙功能,同時選用支援的網路攝影機。
微軟並未對此做出立即回應。
SYSS用照片騙過Hello生物辨識驗證的影片
[embedded content]
from iThome 新聞 http://ift.tt/2BjP5bN
沒有留言:
張貼留言