我们已经看到了一些苹果的脸部ID系统被欺骗的例子,要么使用3D打印的面具,要么是亲戚,比如相同的兄弟姐妹和孩子。但现在它是WindowsHello,微软的面部识别安全功能的转变,尽管使用了较旧的操作系统版本。
德国安全公司SYSS发现,他们可以使用任何东西,但可以使用打印的头像来获得过去的Windowshello认证。他们说,尚未收到最新秋季创造者更新的任何Windows10系统都很容易受到攻击,它针对多个版本的Windows和不同类型的硬件而工作。
在视频中,我们看到了一个研究人员使用Windows10版本1607在SurfacePro4上设置Windowshello面身份验证,这是去年的周年更新--启用了反欺骗功能。然后,他使用近红外相机打印自己拍摄的修改的、低分辨率的激光打印照片,并使用它来解锁该设备。
syss警告,即使应用“秋季创建者”更新也可能不足以阻止漏洞攻击,因为在较早版本的操作系统上设置WindowsHello的任何人仍然会受到攻击的影响。研究人员建议使用该功能的任何人返回并在更新后再次设置它,同时确保启用反欺骗。
这两个视频展示了概念攻击的证据,而第三个视频展示了在系统升级到1709版本之后,它仍然是如何工作的--假设Windows Hello在以前的版本中已经就位,并且在更新之后还没有被重新配置。