Группа исследователей из компании CyberArk Labs смогла обойти систему аутентификации Windows Hello, воспользовавшись недавно обнаруженной уязвимостью. Впрочем, пользователям вряд ли стоит беспокоиться по этому поводу, поскольку для использования уязвимости требуется инфракрасный снимок человека, физический доступ к компьютеру и специализированное USB-устройство.
Камеры, имеющие поддержку Windows Hello, оснащаются датчиками RGB и инфракрасного излучения. Однако, как выяснили в CyberArk, система аутентификации использует для распознавания лица только кадры с ИК-камеры, и именно здесь находится уязвимость. Для её эксплуатации достаточно с помощью специального USB-устройства передать Windows Hello ИК-изображение пользователя и совершенно любое RGB-изображение (подойдёт даже картинка с Губкой Бобом).
CyberArk отмечают, что нет никаких доказательств, что злоумышленники когда-либо использовали данную уязвимость. Дополнительную информацию о проблеме компания планирует раскрыть в рамках конференции Black Hat, которая пройдёт с 4 по 5 августа 2021 года. Также добавим, что 13 июля Microsoft выпустила патч для устранения данной уязвимости.