לעקוף את Windows Hello בלי מסכות או ניתוח פלסטי - טלנירי










TLV  |  LDN  |  NY
 
מסחר בבורסה בורסה מסחר בבורסה תחרות המשקיעים מסחר בבורסה

העמלות שלנו

העמלות שלנו

חדשות

אור ירוק לבניית 3,000 יחידות דיור במתחם האלף בראשון לציון‎

מערכת טלנירי | 5/1, 09:53
בקרוב אלפי בעלי קרקעות פרטיות יוכלו להתחיל ולממש את זכיותיהם במתחם

הותר לפרסום: עו"ד דורון לוי חשוד כי סייע לאחים דיין

מערכת טלנירי | 28/12, 09:14
להציג מצגי שווא ולהתחמק מתשלום מסים בסך של למעלה מ-180 מיליון אירו


> > מחשבים וטכנולוגיה

לעקוף את Windows Hello בלי מסכות או ניתוח פלסטי


סייבר ארק
חברת סייברארק חושפת חולשת אבטחה שמצאה במנגנון האימות הביומטרי של מיקרוסופט, Windows Hello, המאפשר למשתמשים להיכנס למחשב שלהם באמצעות טכנולוגיה של זיהוי פנים. במקום להכניס סיסמא, כל מה שהמשתמש צריך לעשות זה להסתכל על המסך שלו
חוקרי מעבדות סייברארק (CyberArk Labs) בחנו את היבטי האבטחה שמאחורי מנגנון זיהוי הפנים של Windows Hello, ומצאו חולשה המאפשרת לעקוף את המנגנון כך שגם מי שאינו מורשה יכול להיכנס למחשב.

יצויין כי Windows Hello היא אחת ממערכות האימות ללא-סיסמא הפופולריות ביותר, לפי מיקרוסופט, 85% ממשתמשי Windows 10 משתמשים ב- Windows Hello.

טכניקת התקיפה שחשפו החוקרים:

מנגנון אימות הזהות של Windows Hello, כולל שימוש בשני סוגים של תמונות: צילום תמונה רגילה ותמונת אינפרא-אדום (כדי לוודא לפי חום גוף שיש כאן אדם אמיתי ולא רק תמונה פיקטיבית). בפועל, החוקרים גילו שהמנגנון של Hello לא מתייחס לתמונה הרגילה, אלא רק לתמונת האינפרא-אדום, וגם בה, רק לחלקים מסוימים שמאפיינים את אותו אדם. לפיכך הם צלמו תמונת IR של המשתמש המותקף, ובעזרת מכשיר USB חיצוני שלחו אותה למערכת לצורך אימות, וכך עקפו את המנגנון.

לדברי עומר צרפתי, חוקר במעבדות סייברארק, "במהלך המחקר גילינו תכנון שמאפשר לתוקף לעקוף את מנגנון זיהוי הפנים של Hello. החולשה מאפשרת לתוקף עם גישה פיזית למכשיר לזייף את תהליך האימות על ידי ייצור תמונה של פניו של הקורבן ובהמשך חיבור של מכשיר USB שהותאם במיוחד כדי להזריק את התמונות המזוייפות למנגנון האימות. מתקפה מסוג זה יכולה לשרת תוקף שמכוון לחוקר, מדען, עתונאי, פעיל חברתי (אקטיביסט) או משתמש פריבילגי עם קניין רוחני רגיש על המחשב שלהם, למשל".

עוד הוסיף, כי "המחקר של סייברארק התמקד ב-Windows Hello ובגרסת האנטרפרייז שלו (הגרסה הארגונית) Windows Hello for Business, אולם בפוטנציאל, כל מערכת אימות שמאפשרת חיבור מכשיר מצלמה USB של צד שלישי כסנסור ביומטרי עלול להיות יעד למתקפה".

בסייברארק מוסיפים שבאמצעות הטכניקה הזו, כל מנגנון אימות שסומך על מצלמת USB חיצונית – נמצא בסיכון ועלול לאפשר גישה למחשב של המשתמש הנתקף ולרשת אליה הוא מחובר.

צוות מעבדות סייברארק דיווח למיקרוסופט על החולשה שמצא וסייע במציאת צעדים להפחתת הסכנה לארגונים ברחבי העולם. בעקבות שיתוף פעולה עם חוקרי סייברארק, מיקרוסופט פרסמה אמש תיקון תוכנה שמפחית את משטח המתקפה. התיקון של מיקרוסופט מגביל את סוגי המצלמות שניתן לחבר למחשב ומאפשר הגבלה לשימוש במצלמות מובנות בלבד, כך שלא יהיה ניתן לחבר מכשיר USB חיצוני. כאמור צעדים אלה מקשים על מימוש התקיפה אבל לא מונעים אותה לחלוטין.

חוקרי סייברארק יציגו את ממצאי המחקר בכנס Black Hat 2021 ב-4 באוגוסט, כולל ניתוח של דרכי ההתגוננות שמיקרוסופט פרסמה כחלק מחשיפת החולשה המשותפת שבצענו איתם.


טלנירי מציעה לך את מגוון השירותים תחת קורת גג אחת!

פתיחת חשבון למסחר בארץ ובארה"ב, שירותי איתותים לישראל, ארה"ב והמעו"ף, שירות החזרי מס, תוכנת ניתוח טכני ועוד... השאר את פרטיך ונחזור אליך בהקדם

שם מלא*: טלפון*: דוא"ל:


RSS
- מידע פיננסי לפני כולם  © כל הזכויות שמורות  |  משרד ראשי: יגאל אלון 94, תל-אביב  |  073-250-5855  |  info@talniri.co.il