Các nhà nghiên cứu bảo mật phát hiện lỗ hổng chính trong Windows Hello

Microsoft đã phát hành bản cập nhật bảo mật để giải quyết vấn đề Windows Hello với ‘CVE-2021-34466’. Lỗ hổng cho phép tính năng bảo mật bị bỏ qua trong công nghệ dựa trên sinh trắc học của Windows Hello.

Điều này cho phép hacker có thể làm giả danh tính của người dùng và đánh lừa cơ chế nhận dạng khuôn mặt để có được quyền truy cập.

Các nhà nghiên cứu bảo mật của CyberArk Labs phát hiện ra rằng họ có thể đánh lừa Windows Hello bằng cách sử dụng khung ảnh hồng ngoại của mục tiêu tấn công và ít nhất một khung ảnh RGB chứa thứ khác để dễ dàng qua mặt:

“Lỗ hổng cho phép hacker có quyền truy cập vật lý vào thiết bị để thử quá trình xác thực bằng cách lấy hoặc tạo lại ảnh khuôn mặt của mục tiêu tấn công và sau đó cắm vào thiết bị USB tùy chỉnh để đưa các hình ảnh giả mạo vào máy chủ.”

Theo Microsoft, số lượng khách hàng sử dụng Windows Hello đã tăng từ 69,4% lên 84,7% vào năm 2019. Tuy nhiên, họ đã không tiết lộ bao nhiêu phần trăm những người dùng đó dựa vào phương pháp xác thực này.