Falha no Windows Hello permite invadir computador com câmera falsa
Teste mostra Windows Hello sendo burlado com uma falsa webcam; Microsoft liberou correções para o problema
Fazer login no Windows usando reconhecimento facial é uma comodidade e tanto. Não é preciso digitar senha e o procedimento costuma ser rápido. Mas também pode ser inseguro: a empresa de segurança digital CyberArk descobriu que o Windows Hello, o sistema de autenticação biométrica da Microsoft, pode ser enganado e, assim, permitir acesso ao computador por terceiros.
- Como fazer login por impressão digital no Windows Hello
- Windows tem nova falha de segurança com impressoras após “PrintNightmare”
O Windows Hello foi desenvolvido para funcionar com câmeras que combinam sensores RGB e infravermelho. Porém, os pesquisadores da CyberArk descobriram que, sob determinadas circunstâncias, o sistema processa apenas informações do sensor de infravermelho durante a autenticação.
Eles chegaram a esse conclusão criando um dispositivo USB que se passa por uma webcam, mas carrega imagens infravermelhas de um usuário e imagens RGB do personagem Bob Esponja. O dispositivo foi reconhecido como uma câmera compatível e desbloqueou o acesso ao computador, um sinal óbvio de que as imagens RGB não foram consideradas.
Os testes também mostraram que uma única imagem de infravermelho do usuário era suficiente para desbloquear o computador por meio do truque.
Microsoft lançou correção
Felizmente, o problema não é muito grave, pois exige que o invasor tenha não só acesso físico ao computador como obtenha uma imagem em infravermelho e de alta qualidade do rosto do usuário.
De qualquer forma, a Microsoft liberou correções para o problema. De modo complementar, a companhia recomenda aos usuários do Windows Hello que habilitem a opção de segurança aprimorada do recurso, que criptografa os dados de reconhecimento facial e os trata em uma área protegida da memória.
Apesar disso, o assunto ainda causa certa preocupação entre especialistas em segurança. O Windows Hello foi feito para ser compatível com um grande números de câmeras e é justamente essa abrangência que pode comprometer a segurança da ferramenta.
Para a CyberArk, seria importante a Microsoft se preocupar em ser mais criteriosa na validação das câmeras compatíveis para evitar adulterações como a demonstrada no teste.
Nesse sentido, Marc Rogers, da empresa de gerenciamento de identidades digitais Okta, afirma que a companhia deveria deixar bem claro ao usuário quais webcams são certificadas para uso seguro com o Windows Hello.
Com informações: Ars Technica.
![Como saber a versão do Windows [Home, Pro, Student, Enterprise e etc.]](https://files.tecnoblog.net/wp-content/uploads/2018/08/Sistema-Operacional-Windows-1-340x191.png)
