Windows Hello是微軟在Windows 10系統(tǒng)上提供的一項智能生物識別系統(tǒng)，可通過用戶的面部、虹膜、或指紋等特征來解鎖Windows系統(tǒng)。不過近日有安全研究人員發(fā)現(xiàn)了該系統(tǒng)在面部識別方面的一項漏洞，可通過假USB攝像頭來繞過認證系統(tǒng)。

[[412132]]

安全公司賽博亞克(CyberArk)的研究人員發(fā)現(xiàn)，Windows Hello要求設(shè)備具備一個RGB和一個紅外傳感器的攝像頭，而紅外傳感器收集的數(shù)據(jù)就是繞過Windows Hello驗證的關(guān)鍵。研究人員使用了一塊開發(fā)板制作了一個USB設(shè)備，該設(shè)備在系統(tǒng)中顯示為一個帶有RGB和紅外傳感器的USB攝像頭。但實際上，該設(shè)備只是發(fā)送預制的圖像幀：一些真實主人的紅外幀和一些海綿寶寶的RGB幀。經(jīng)過幾次測試，研究人員發(fā)現(xiàn)，只需要一個紅外幀和一個普通的黑色RGB幀就可以騙過Windows Hello。

賽博亞克稱，該漏洞的存在是因為Windows Hello允許外部設(shè)備作為生物識別認證的數(shù)據(jù)源。對此，微軟別無選擇，因為并非所有的Windows設(shè)備都有內(nèi)置的攝像頭或指紋傳感器。

好在目前使用該漏洞破解Windows設(shè)備還有一定難度，因為需要取得使用者的真實紅外信息。