Beheer

Security
webcam

Details gepubliceerd hoe Windows-inlog te foppen met infraroodfoto

Gezichtsherkenning van Windows omzeilen zonder masker of plastische chirurgie.

© Poly
19 juli 2021

Gezichtsherkenning van Windows omzeilen zonder masker of plastische chirurgie.

De zwakke plek die is ontdekt in Windows Hello, de biometrische inlogfunctie van Windows, is openlijk met details uiteengezet. De omgang met een infraroodcamera blijkt veel minder strikt te zijn dan voor een reguliere webcam. Hierdoor valt de gezichtsherkenning te foppen met een infraroodafbeelding van het gezicht van een legitieme gebruiker.

Onderzoeker Omer Tsarfati van IT-beveiligingsbedrijf CyberArk heeft deze kwetsbaarheid gevonden en weten uit te buiten. Hij heeft het verantwoord gemeld bij Microsoft, die zegt het te hebben gefixt in de updateronde van Patch Tuesday eerder deze maand. CyberArk spreekt dat tegen. Details over deze fout van Windows Hello zijn gepubliceerd en worden begin komende maand gepresenteerd op hackersconferentie Black Hat.

Gevaar: gebruiksgemak

Volgens Tsarfati is Windows Hello de populairste oplossing voor wachtwoordloos inloggen, waarbij eindgebruikers zich kunnen aanmelden op hun computer met een pincode of met biometrische authenticatie. Volgens Microsoft gebruikt 85% van de Windows 10-gebruikers Windows Hello. Deze Microsoft-technologie biedt daarbij gebruiksgemak doordat een geschikte webcam gewoon het gezicht van de legitieme gebruiker kan herkennen.

Sinds kort staat Windows Hello ook externe webcams toe, die dan met een usb-kabel worden verbonden met een computer. Dit kan nuttig zijn bij desktopcomputers, maar ook voor kwalitatief betere camera's dan die fabrikanten inbouwen in laptops. Security-expert Tsarfati van CyberArk heeft ontdekt dat Windows Hello valt te bedotten met een speciaal gebouwd usb-apparaat. Daarvoor accepteert Windows dan een printje van een infraroodfoto als echt gezicht van een aanwezig persoon.

Echte gebruiker en Spongebob

De gezichtsherkenning van Windows Hello vereist een standaardcamera die RGB en infrarood ondersteunt. Zulke webcams hebben dan twee aparte sensors, één voor zichtbaar licht en één voor infrarood beeld. Bij het onderzoek heeft Tsarfati ontdekt dat Windows tijdens het authenticatieproces alleen de infraroodbeelden verwerkt. Voor het verifiëren hiervan heeft hij een speciaal usb-apparaat gemaakt dat infraroodbeelden van hem zelf doorstuurde en RGB-beelden van tekenfilmfiguur Spongebob. De inlog lukte met deze opstelling.

De beveiligingsonderzoeker meldt in zijn technische uiteenzetting nog dat het probleem mogelijk niet beperkt is tot alleen de biometrische authenticatie van Windows. "Terwijl ons onderzoek specifiek gericht was op Windows Hello, en vooral op het enterprise-aanbod van Windows Hello for Business, is het belangrijk om op te merken dat in potentie elk authenticatiesysteem dat een usb-camera van een derde partij toestaat vatbaar kan zijn voor deze aanval. We hebben echter geen praktische tests uitgevoerd om dit te verifiëren."

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.