黑客們已經(jīng)證明，他們能夠通過使用假的USB攝像頭繞過Windows Hello的安全設(shè)定，該攝像頭主要傳輸捕獲的目標(biāo)的紅外線圖片，而Windows Hello似乎很樂意接受它。問題似乎是出在Windows Hello愿意接受任何具有紅外功能的攝像頭作為Windows Hello攝像頭，使黑客能夠向PC提供一個經(jīng)過操縱而不是真實的數(shù)據(jù)。

此外，事實證明，黑客只需向PC發(fā)送兩幀 - 一幀是目標(biāo)的真實紅外捕捉數(shù)據(jù)，另一幀是空白黑幀，第二幀是用來欺騙Windows Hello的有效性驗證的。

CyberArk實驗室說，紅外圖像可以由特殊的遠(yuǎn)距離紅外相機(jī)或偷偷放在目標(biāo)環(huán)境中的相機(jī)捕獲，如電梯。

微軟已經(jīng)在CVE-2021-34466號公告中承認(rèn)了這個漏洞，并提供了Windows Hello簽到安全增強(qiáng)作為緩解措施。這只允許作為原始設(shè)備制造商的加密信任鏈一部分的Windows Hello攝像頭被用作數(shù)據(jù)源，但CyberArk同時又注意到并非所有設(shè)備都支持這一功能。

閱讀漏洞分析原文了解更多：

https://www.cyberark.com/resources/threat-research-blog/bypassing-windows-hello-without-masks-or-plastic-surgery

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/