Onderzoekers omzeilen Windows Hello-authenticatie met nepcamera's en IR-beelden

Beveiligingsonderzoekers zijn erin geslaagd het Windows Hello-beveiligingssysteem van Microsoft te omzeilen. Een beveiligingsbedrijf slaagde erin de gezichtsherkenning van Windows Hello te misleiden met behulp van een nepcamera en infraroodbeelden van de eigenaar van het systeem.

Cyberbeveiligingsbedrijf CyberArk kon de Windows Hello-beveiliging van een computer omzeilen via een eigen USB-apparaat, dat een webcam moest nabootsen en infraroodbeelden van de eigenaar van het systeem zou bevatten.

Windows Hello is een authenticatiesysteem voor Windows-pc's, dat op verschillende manieren kan worden gebruikt. Gebruikers kunnen Windows Hello implementeren met een pincode, vingerafdruk of gezichtsherkenning. Voor dat laatste heeft Windows Hello een webcam nodig die zowel RGB- als infraroodbeelden opneemt.

Onderzoekers van CyberArk ontdekten dat het authenticatiesysteem alleen de infraroodframes verwerkt. Om dat te verifiëren maakten de onderzoekers een USB-apparaat met een evaluatiebord van NXP. Op dat USB-apparaat plaatsten ze infraroodbeelden van de Windows Hello-gebruiker en kleurenbeelden van Spongebob. Het apparaat werd herkend als een USB-webcam en werd met succes gebruikt om Windows Hello te omzeilen.

Microsoft heeft het beveiligingsprobleem sindsdien opgelost ineen patch . In een document wijst het bedrijf gebruikers erop dat ze het gebruik van externe Windows Hello-camera's desgewenst kunnen uitschakelen door een waarde toe te voegen aan het register in Windows. In de praktijk zal het ook moeilijk zijn om deze kwetsbaarheid te misbruiken op niet-gepatchte systemen, omdat hiervoor infraroodbeelden van de systeemeigenaar en fysieke toegang tot de betreffende computer nodig zijn.