伪造红外相机成功绕过Windows Hello生物识别验证

来源：蓝点网 作者：山外的伪造鸭子哥 时间：2021-07-19 11:35:16

微软推出的Windows Hello生物识别验证被认为具有较高的安全性 , 诸如红外摄像头和指纹识别通常不容易伪造。

而通过红外摄像头认证通常还需要经过活体检测 ,红外 但实际测试发现Windows Hello并没有像微软宣传的那样安全。

问题在于Windows Hello似乎很愿意接受任何具有红外功能的相机相机作为验证相机 , 这让黑客可以篡改实际数据流。

远程拍摄照片绕过验证：

研究人员使用特制设备向 Windows Hello 发送两帧数据，成功第1帧是绕过目标用户的真实红外捕获、第2帧是生物识别空白黑帧。

其中真实红外捕获用来获得初步的验证认证 ,  而空白的黑帧则用来欺骗 Windows Hello 活体检测机制达到验证目的。

事实证明这种方法确实是伪造可行的，研究人员利用这种方式可以轻松绕过微软的红外生物识别验证从而登录各种账号等。

但是相机要在现实世界里利用此漏洞也不算轻松，其危害主要是成功黑客可以架设摄像头在目标用户的周围从而获取照片。

只有通过具备红外功能的绕过摄像头拍摄到目标用户时才能再使用伪造的数据绕过活体检测从而攻破微软的生物认证。

微软已经确认漏洞的生物识别存在：

研究人员向微软通报漏洞后已经获得微软公司的确认，微软表示此漏洞CVE-2021-34466将在后续更新进行修复。验证

另外微软还提供用于增强生物识别安全性的伪造临时性方案，该方案可以限制只使用来自 OEM 制造商信任的摄像头。

这些摄像头通常也有加密信任链的保护因此确实可以提高安全性，制造商黑客不能使用其他摄像头进行替代认证。

然而研究人员指出并非所有设备都支持仅信任制造商摄像头，因此还是等待微软及时修复此安全漏洞更加靠谱些。

分享：

文章标签： 微软公司

相关推荐

• 2023 年京东史上最强 618来袭

  在今日举行的 2023 年京东 618 商家大会上，京东宣布今年 618 恰逢京东创业 20 周年，同时也将是史上助力商家增长投入最多、举措最强的 618。

  2023-04-20
• 安全研究专家报告Google Home严重漏洞获107500 美元赏金

  12 月 30 日消息，安全研究专家马特・昆茨（Matt Kunze）去年向谷歌报告了 Google Home 的严重漏洞，近期获得了谷歌 107500 美元（约 74.9 万元人民币）的高额赏金。

  谷歌 2022-12-30
• 一加10 Pro和OPPO Find X5 Pro开放升级基于Android13的ColorOS13

  ColorOS 官方今日宣布，OPPO Find X5 和 Find X5 Pro 现已开启 ColorOS 13.0 × Android 13 正式版升级，同时一加 10 Pro 5G 也已开启 ColorOS 13.0 × Android 13 正式版升级。

  OPPO 一加手机 ColorOS 2022-09-23
• 苹果为 Apple Watch Ultra 发布 watchOS 9.0.1 系统

  苹果今天发布了watchOS 9.0.1，这是对9月首次亮相的watchOS 9操作系统的微小更新。watchOS 9.0.1可用于Apple Watch Ultra，对于即将收到‌Apple Watch Ultra‌的用户来说，这将是第一天的更新。

  苹果 Apple Watch 2022-09-23
• 苹果推送iOS 16.0.2正式版：修复多个BUG

  9月23日消息：在iOS 16发布后，预装搭载的IPhone 14系列出现了多个问题，例如第三方应用的相机抖动、复制粘贴时频繁请求用户批准的弹窗等。在今日凌晨，苹果推送了iOS 16.0.2正式版更新，内部版本号20A380，这些问题都已修复。

  苹果 iOS 16 2022-09-23

本周热门

• 1Windows Server 2012 R2/2019/2022受累积更新影响，出现严重问题 2022/01/14
• 2笔记本CPU莫名锁频率0.39GHz？可能是过热和快速启动问题 2022/07/19
• 3Windows 软件包管理器 WinGet安装及使用教程 2020/05/23
• 4263 企业邮箱“崩了”，网友：收发不了邮件，感觉损失几个亿 2021/05/18
• 5Microsoft Edge 弹窗要求定期导入其他浏览器数据 2022/02/24
• 6Windows 10 默认关闭TLS 1.0/1.1协议 2022/09/16
• 7个人金融信息安全泄漏渠道有哪些？泄漏危害及典型案例 2020/04/15
• 8微软推出wsl –install快速安装指令，简化安装，只需一条命令即可安装 2021/07/31

本月热门

• 1微软推出wsl –install快速安装指令，简化安装，只需一条命令即可安装 2021/07/31
• 2Windows Server 2012 R2/2019/2022受累积更新影响，出现严重问题 2022/01/14
• 3笔记本CPU莫名锁频率0.39GHz？可能是过热和快速启动问题 2022/07/19
• 4Microsoft Edge 弹窗要求定期导入其他浏览器数据 2022/02/24
• 5一加10 Pro和OPPO Find X5 Pro开放升级基于Android13的ColorOS13 2022/09/23
• 62023 年京东史上最强 618来袭 2023/04/20
• 7腾讯电脑管家推出“小团队版”，一键管理企业终端设备 2020/04/16
• 8中通开通默认隐私面单服务：隐藏寄件人/收件人电话号码 2021/12/10

科技 安全 论坛 卡饭教程 手机版

Copyright2014-2020© 卡饭网  沪ICP备2020031077号-2

卡饭网提供的所有的资源均来自互联网，如有内容侵犯您的版权或其他利益，请及时向我们提出删除。联系邮箱：kf2020@kafan.cn

(责任编辑：娱乐)