Niedawno głośno się zrobiło o funkcji biometrycznego logowania poprzez rozpoznawanie twarzy w iPhone X, które można zmylić, pokazując odpowiednią makietę twarzy. Dwóch badaczy postanowiło sprawdzić, czy oszukać da się też Windows Hello. Odpowiedź jest twierdząca - pytanie tylko, jak.
Matthias Deeg i Philipp Buchegger z firmy SySS, zajmującej się na codzień testami penetracyjnymi, dokonali ciekawego eksperymentu, na który składała się seria testów z użyciem rozszerzonego anti-spoofingu i bez niego, a także na dwóch różnych urządzeniach: Dell Latitude E7470 z kamerą LilBit USB i Microsoft Surface Pro 4. Testy przeprowadzano na kilku wersjach Windows 10, począwszy od 1607 (build 14393.1770) i kończąc na 1709 (build 16299.98). Badacze odkryli, że jakość zabezpieczeń Windows Hello różni się w zależności od urządzenia i wersji systemu operacyjnego. Im nowsza wersja, tym zabezpieczenia skuteczniejsze, choć i tak bez rozszerzonego anti-spoofingu Windows Hello pozostaje praktycznie bezbronny.
Zabezpieczenia systemu biometrycznego uwierzytelniania w Windows 10 badaczom udało się obejść, pokazując do kamery zdjęcie, na którym:
- Twarz osoby została sfotografowana bezpośrednio.
- Zdjęcie wykonano w tzw. bliskiej podczerwieni.
- Jasność i kontrast zostały zmienione.
- Wydruk wykonany był drukarką laserową.
Mimo sukcesu w pokonaniu zabezpieczeń Deeg i Buchegger zaznaczają, że przy kompatybilnym sprzęcie i włączonym anti-spoofingu na urządzeniach z Windows 10 1703 i 1709 biometryka nie daje się oszukać. Wykazano też, że urządzenia zaktualizowane z wersji 1511 do 1607 są podatne, chyba że skonfiguruje się w nich anti-spoofing.
Można uznać, że Windows Hello jest skuteczny, ale tylko pod warunkiem, że korzysta z odpowiedniej, nie dającej się oszukać kamery, a wersja Windows 10 pozostaje aktualna.
