Os pesquisadores enganam a autenticação do Windows Hello com instantâneo infravermelho

O sistema de autenticação do Microsoft Windows Hello é compatível com webcams de diferentes fabricantes, tornando-o o mais fácil de usar possível. No entanto, essa versatilidade pode tornar a tecnologia menos segura contra invasores. Os especialistas da empresa CyberArk estavam convencidos disso, que conseguiram enganar o Windows Hello usando uma imagem do rosto do proprietário do computador.

Imagem: Getty Images

O Windows Hello é compatível com uma variedade de webcams que possuem RGB ou sensor infravermelho. No decorrer da pesquisa, constatou-se que durante o processo de autenticação, o sistema processa apenas frames infravermelhos. Para testar essa suposição, os pesquisadores criaram um dispositivo USB especial no qual carregaram fotos infravermelhas do proprietário do laptop e imagens RGB do personagem de desenho animado Bob Esponja. Depois de conectado, o Windows Hello detectou o dispositivo como uma câmera USB e o computador foi desbloqueado com sucesso usando uma foto infravermelha.

Vale ressaltar que será extremamente difícil hackear o computador de alguém usando essa técnica, pois isso requer a obtenção de uma foto infravermelha do dono do aparelho. No entanto, essa ainda é uma falha de segurança do Windows Hello que poderia, em teoria, ser explorada por invasores. A Microsoft já lançou uma correção para o que a empresa chama de “vulnerabilidade de desvio do recurso de segurança Hello”. A Microsoft também oferece o Windows Hello Enhanced Sign-in Security, que criptografa o rosto do usuário e o armazena em uma área segura separada.