کشف ضعف امنیتی در سیستم Windows Hello توسط تیم CyberArk

گوشی های هوشمند، مدت هاست که از احراز هویت بایومتریک مثل اثر انگشت و چهره برای امنیت استفاده می کنند و این قابلیت ها مدتیست که برای لپتاپ ها و کامپیوتر های شخصی در حال پیاده سازی است. “Windows Hello” یکی از امکانات ارائه شده توسط مایکروسافت می باشد تا همان میزان راحتی و امنیت را به کابران دسکتاپ ارائه دهد. این سیستم به نظر میرسد که به خوبی کار می کند، اما یک تیم امنیتی به تازگی رخنه ای در این سیستم کشف کرده اند و به راحتی توسط یک دستگاه USB تنظیم شده، قابل دور زدن است.

خوشبختانه سواستفاده از این حفره امنیتی به همین راحتی ها نیست. گروهی از محققان از تیم CyberArk، موفق به پیاده سازی پروسه ای شدند که می تواند به راحتی سیستم تشخیص چهره Windows Hello را گول بزند. ویندوز برای استفاده از تشخیص چهره Windows Hello نیازمند استفاده از دوربینی است که هم سنسور RGB داشته باشد و هم سنسور IR، اما به نظر میرسد که در واقع ویندوز برای تشخصی چهره، فقط نیازمند دریافت داده از سنسور IR می باشد و میتواند با استفاده از آن سیستم های امنیتی مهم ویندوز را رد کند.
کشف ضعف امنیتی در سیستم Windows Hello توسط تیم CyberArk
محققان CyberArk طی اقدامی موفق به طراحی یک دستگاه USB با استفاده از برد NXP شدند که خود را به ویندوز به عنوان یک دوربین USB با سنسور های RGB و IR معرفی میکند. این دستگاه در واقع فقط تعدادی عکس از پیش تعریف شده به ویندوز ارسال می کند که شامل تصویر صاحب دستگاه به صورت فریم های IR می باشد و برای تصاویر RGB از تعدادی عکس باب اسفنجی استفاده می کند. بعد از مدتی محققان متوجه شدند که برای گذر از دیوار امنیتی Windows Hello فقط نیاز به داده های فریم IR دارند و فریم های RGB تقریبا نقشی در این احراز هویت ندارند.

ساخت صفحه نمایش OLED قابل کشش با قابلیت نمایش ضربان قلب در نسخه اولیه توسط سامسونگ
بیشتر

به گفته تیم CyberArk این ضعف امنیتی به دلیل این است که Windows Hello برای اجرای عمل احراز هویت بایومتریک نیاز به اتصال یک دستگاه خارجی دارد. از طرفی این موضوع اجتناب ناپذیر است زیرا دستگاه هایی که از ویندوز استفاده می کنند، اصولا هیچ نوع سخت افزار احراز هویت بایومتریکی ندارند، ولی در عین حال همین نیاز با بزرگترین ضعف سیستم Windows Hello تبدیل شده است.

خبر خوب اینکه سواستفاده از این رخنه امنیتی به راحتی امکان پذیر نیست. زیرا اول اینکه شخص مهاجم برای استفاده از آن نیاز به داشتن تصاویری از صاحب دستگاه دارد، که خود امر ساده ای نیست. پس از آن نیز شخص باید به صورت فیزیکی به دستگاه مورد نظر دسترسی داشته باشد که کار  را مشکل تر می کند. اما سوال اینجاست که آیا راه های دیگری برای سواستفاده از این ضعف امنیتی وجود دارد؟

خسرو اقدمی

خسرو اقدمی

دبیر تکنولوژی و بازی های رایانه ای

→ خواندن مطلب قبلی

شهاب سنگ نادر انگلستان به قدمت منظومه شمسی

خواندن مطلب بعدی ←

افزایش میزان گازهای متان بر روی مریخ ممکن است نشانه حیات فرازمینی باشد

نوشتن نظر شما

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *