Тестирование выполняли специалисты по безопасности из немецкой компании SySS. В процессе проведения эксперимента установлено, что обмануть функцию распознавания лиц Windows Hello, являющуюся неотъемлемой частью разных версиий ОС Windows 10, возможно с помощью распечатанной на принтере фотографии.
Эксперименты проводились на планшетном ПК Microsoft Surface Pro 4. На первом этапе испытанию подверглась установленная операционная система Windows 10 Anniversary Update. Версия ОС, выпущенная в 2016 году, не смогла противостоять обману с включенной на Windows Hello антиспуфинговой функцией.
Для более поздних версий Windows 10 - Creators Update и Fall Creators Update для преодоления Windows Hello при помощи низкокачественного фото необходимо отключить антиспуфинг. Специалисты SYSS и здесь продемонстрировали процесс обхода Windows Hello.
Даже использование последнего обновления Windows 10 Fall Creators Update, исправляющего эксплойт с активной функцией антиспуфинга, не защитит от злоумышленников, желающих обмануть Windows Hello.
Экспериментаторы доказали, что все версии операционной системы Windows 10 при работающем Windows Hello могут быть взломаны и, следовательно, компьютер остаётся уязвимым. Однако злоумышленнику для преодоления защиты Windows Hello потребуется обработанная специальным образом фотография аутентифицированного пользователя, чтобы пройти идентификацию инфракрасной камерой, которая имеется на ПК. Впрочем, снимок может быть не особо качественным. При эксперименте немецкие специалисты использовали изображение с низким разрешением (340 × 340 пикселей в первых двух случаях и 480x480 пикселей в последнем). распечатанное на листе формата А4.
-
Biometricks 2/3: Windows Hello Face Authentication Bypass PoC II
-
Biometricks 3/3: Windows Hello Face Authentication Bypass PoC III 1080p