2021/07/19

Login via Windows Hello enganado com foto IR

Investigadores descobriram que login via reconhecimento facial do Windows Hello deixa bastante a desejar, sendo fácil de enganar com uma única imagem IR.

O Windows Hello é o sistema que a MS promove como sendo uma forma de fazer login rápido e de forma segura. Para isso recorre a webcams que precisam ter capacidade IR (como as câmara de segurança, para ver no escuro). Só que, em vez dessa capacidade ser usada como complemento para verificação da segurança da imagem a cores, estes investigadores descobriram que o Windows Hello só liga a essa imagem IR, ignorado por completo a imagem a cores.
Usando uma câmara adulterada para apenas enviar uma foto IR do dono do computador, entrar no seu computador torna-se um processo extremamente simples - em que por "simples" se assume que os atacantes terão acesso físico ao seu computador e conseguirão obter uma foto IR do seu rosto (e na verdade, mesmo que também precisasse da imagem a cores, a dificuldade seria idêntica).

No mínimo exigir-se-ia que a MS fizesse algum tipo de comparação / validação entre as imagens a cores e IR, e de preferência exigindo que o rosto do utilizador demonstrasse algum tipo de movimento que evitasse um ataque usando imagens estáticas. Veremos se será esse o caminho que a MS optará por seguir; mas até lá, se quiserem manter o computador em segurança, será melhor não confiarem exclusivamente no Windows Hello.

2 comentários:

  1. Não é exclusivo do Windows Hello, vários terminais de ponto e controlo de acessos que andam no mercado Português também são facilmente ludibriados. Com o Covid muitas empresas apostaram neste tipo de sistemas ao invés dos biométricos por impressão digital, acaba por ser mais fácil de picar um pelo outro.

    ResponderEliminar
  2. Este comentário foi removido por um gestor do blogue.

    ResponderEliminar