Windows Hello 绝对方便,增加了生物识别解锁层,无需输入密码即可登录自己的 PC。然而,这不仅仅是为了方便。据微软称,Windows Hello 的无密码登录过程还有助于保护您免受常见的键盘记录器攻击,这些攻击会检查您的击键以获取您的密码,然后破坏您的 PC。然而,根据网络安全研究公司 CyberArk 的 Omer Tsarfati 的说法,即使是 Windows Hello 在其逻辑中也存在一个关键漏洞,任何可以访问您 PC 的人都可能会利用该漏洞。
这个过程是这样的——你在你的工作场所是一个相当重要的人,而这反过来又是一家拥有大量敏感数据的重要公司。在这种情况下,您可能拥有一台支持通过 Windows Hello 进行面部登录的工作Windows 10 PC,并且您的公司已要求您使用它以避免键盘记录器网络漏洞。鉴于它使用起来也非常方便,您每天都会使用它来登录您的 PC。
如果恶意行为者现在决定破坏您的 PC,他们可以简单地收集您的照片,将其渲染为红外图像,然后将其提供给处理器板。虽然微软之前声称网络摄像头实时创建的 IR 图像与经过后处理、渲染的 IR 图像不同,但这种差异显然不再能说明问题。无论如何,现在破坏您的 PC 所需要做的就是将此板连接到您的 Windows 10 PC,等待它将板识别为相机,然后读取从板发送到您的 PC 的图像信号。
通过此信号,Windows 10 现在将您的这张 IR 图像识别为您自己。因此,它会验证尝试登录您 PC 的人的身份,并解锁您的计算机以访问敏感数据。整个过程需要对个人 PC 进行广泛的物理访问,但是如果您在笔记本电脑上随身携带大量敏感数据,那么在此过程中您可能会以多种方式受到损害。
微软似乎已经告诉 CyberArk,该漏洞已在 7 月 13 日的 Windows 10 更新中修复,该更新提供增强的登录安全性以在解锁 PC 之前验证附加设备,但 CyberArk 表示攻击仍然可以通过绕过Microsoft 已采取的安全措施。