微軟的 Windows Hello 系統(tǒng)試圖為其桌面平臺(tái)帶來(lái)同樣的便利和安全組合，而且在大多數(shù)情況下表現(xiàn)出色。然而，新的安全研究顯示，Windows Hello 的人臉識(shí)別過(guò)程中有一個(gè)致命的漏洞，那就是可以通過(guò)使用定制的 USB 設(shè)備繞過(guò)認(rèn)證。幸運(yùn)的是，在現(xiàn)實(shí)生活中要想利用這一漏洞并沒(méi)有那么簡(jiǎn)單。

　　CyberArk 的安全研究人員發(fā)現(xiàn)，要想愚弄 Windows Hello 系統(tǒng)非常簡(jiǎn)單，或者至少是其面部識(shí)別系統(tǒng)。Windows 要求個(gè)人電腦有一個(gè)帶有 RGB 和紅外傳感器的攝像頭，以便 Windows Hello 面部識(shí)別系統(tǒng)能夠工作。然而，事實(shí)證明，只有紅外傳感器的數(shù)據(jù)才是繞過(guò) Windows 安全系統(tǒng)的關(guān)鍵。

　　研究人員使用恩智浦的評(píng)估板開(kāi)發(fā)了一個(gè) USB 設(shè)備，將自己顯示為一個(gè)帶有 RGB 和紅外傳感器的 USB 攝像頭。但實(shí)際上，該設(shè)備只是發(fā)送預(yù)制的圖像幀：一些真實(shí)主人的紅外幀和一些海綿寶寶的 RGB 幀。經(jīng)過(guò)幾次測(cè)試，研究人員發(fā)現(xiàn)，他們真的只需要一個(gè)紅外幀和一個(gè)普通的黑色 RGB 幀來(lái)欺騙 Windows Hello。

　　據(jù) CyberArk 稱，該漏洞的存在是因?yàn)?Windows Hello 允許外部設(shè)備作為生物識(shí)別認(rèn)證的數(shù)據(jù)源。一方面，微軟別無(wú)選擇，因?yàn)椴⒎撬�有�?Windows PC 都有內(nèi)置的攝像頭或指紋傳感器。另一方面，研究證明，它也是本應(yīng)是萬(wàn)無(wú)一失的安全系統(tǒng)中最薄弱的環(huán)節(jié)。

　　幸運(yùn)的是，要想利用這個(gè)漏洞，攻擊者需要獲得目標(biāo)臉部的紅外圖像，而這并不容易。此外，他們還需要對(duì)臺(tái)式機(jī)或筆記本電腦進(jìn)行物理接觸。