O sistema de reconhecimento fácil e autenticação biométrica fazem parte dos planos da indústria de tecnologia para remover a necessidade de senhas em sistemas.
Serviços como o Windows Hello da Microsoft e FaceID da Apple tornaram a autenticação fácil mais comum nos últimos anos.
A Apple permite o desbloqueio de iPhones e iPas mais recentes com o FaceID usando as câmeras embutidas nos dispositivos.
Já o hardware do Windows é muito mais diversificado, o reconhecimento facial Hello funciona com uma variedade de webcams de terceiros.
No entanto, os pesquisadores da empresa de segurança CyberArk encontraram aqui uma potencial vulnerabilidade.
Isso porque você não pode confiar em nenhuma webcam antiga para oferecer proteções robustas na forma como coleta e transmite dados.
O reconhecimento facial do Windows Hello funciona apenas com webcams que possuem sensor infravermelho, além do sensor RGB normal. Mas, aparentemente o sistema nem mesmo olha para os dados RGB.
O que significa que, com uma imagem infravermelha direta do rosto de um alvo e uma moldura preta, os pesquisadores descobriram que poderiam desbloquear o dispositivo protegido pelo Windows Hello.
Ao manipular uma webcam USB para fornecer uma imagem escolhida pelo invasor, os pesquisadores conseguiram enganar o Windows Hello, fazendo-o pensar que o rosto do proprietário do dispositivo estava presente e desbloqueado.
"Tentamos encontrar o ponto mais fraco no reconhecimento facial e o que seria mais interessante do ponto de vista do invasor, a opção mais acessível", diz Omer Tsarfati, pesquisador da empresa de segurança CyberArk.
"Criamos um mapa completo do fluxo de reconhecimento facial do Windows Hello e vimos que o mais conveniente para um invasor seria fingir ser a câmera, porque todo o sistema depende dessa entrada.", acrescentou.
A Microsoft chama a descoberta de "vulnerabilidade de desvio do recurso de segurança do Windows Hello" e lançou patches na terça-feira para resolver o problema.
Além disso, a empresa sugere que os usuários habilitem a "segurança de login aprimorada do Windows Hello", que usa a "segurança baseada em virtualização" da Microsoft para criptografar os dados faciais do Windows Hello.
Com isso, os dados do Hello serão processados em uma área protegida da memória onde não podem ser violados.
De acordo com Tsarfati, a equipe da CyberArk escolheu examinar a autenticação de reconhecimento facial do Windows Hello, porque já houve muitas pesquisas em todo o setor sobre PIN cracking e falsificação do sensor de impressão digital.
Ele ainda acrescenta que a equipe considerou o grande número de usuários do Hello, que segundo a Microsoft, são 150 milhões, 87% destes usuários utilizam o Windows Hello para entrar no Windows 10.
A equipe de segurança da CyberArk apresentará os dados da descoberta no próximo mês na conferência de segurança Black Hat em Las Vegas.
Embora pareça simples, essa vulnerabilidade do Windows Hello não é tão fácil de ser explorada na prática. Para isso, é necessário uma imagem infravermelha de boa qualidade do rosto do alvo e acesso físico ao dispositivo.
Mas o conceito é significativo à medida que a Microsoft continua promovendo a adoção do Hello com o Windows 11.
A diversidade de hardware entre os dispositivos Windows e o lamentável estado da segurança da IoT podem se combinar para criar outras vulnerabilidades na maneira como o Windows Hello aceita dados faciais.
"Um atacante realmente motivado pode fazer essas coisas. Foi ótimo trabalhar com a Microsoft e produziu atenuações, mas o problema mais profundo em si sobre a confiança entre o computador e a câmera permanece lá.", disse Tsarfati.
Existem várias maneira de obter e processar imagens para reconhecimento facial. O FaceID da Apple, por exemplo, só funciona com os conjuntos de câmeras TrueDepth, uma câmera infravermelha combinada com vários outros sensores.
Mas, a Apple está em posição de controlar o hardware e o software em seus dispositivos de uma forma que a Microsoft não consegue no ecossistema do Windows, pelo menos por enquanto.
As informações de configuração do Windows Hello e FaceID simplesmente dizem "Faça login com a câmera infravermelha do seu PC ou uma câmera infravermelha externa".
De acordo com Marc Rogers, um antigo pesquisador de segurança de sensores biométricos, é surpreendente que a Microsoft não tenha antecipado a possibilidade de ataques contra câmeras de terceiros
Rogers ainda disse que a Microsoft deve deixar claro para os usuários quais webcams de terceiros são certificadas como oferecendo proteções robustas para o Windows Hello.
Via: Wired