Login biométrico Windows Hello pode ser burlado por câmera USB falsa

Por Felipe Gugelmin | Editado por Claudio Yuge | 19 de Julho de 2021 às 21h30
Captura de tela/Microsoft

Criado pela Microsoft como uma forma de garantir o login seguro do Windows, o sistema Hello usa câmeras de vídeo autenticadas para provar a identidade dos usuários. No entanto, uma pesquisa realizada pela CyberArk mostra que uma brecha de segurança permite usar uma câmera USB falsa para burlar a tecnologia e ganhar acesso ao sistema operacional.

Enquanto a empresa exige que as câmeras que usam o sistema Windows Hello possuam sensores RBG e infravermelho (IR) para funcionar, a CyberArk descobriu que somente o sensor IR realmente era necessário e que qualquer quadro RBG poderia ser convertido para um IR com facilidade. Segundo os pesquisadores, a vulnerabilidade existe porque nem todos os dispositivos compatíveis com o sistema possuem câmeras integradas e ele precisa dar suporte a dispositivos externos.

Quer ficar por dentro das melhores notícias de tecnologia do dia? Acesse e se inscreva no nosso novo canal no youtube, o Canaltech News. Todos os dias um resumo das principais notícias do mundo tech para você!

A partir dessas informações, eles criaram um ataque que usa a recriação da imagem infravermelha da vítima, um quadro RGB modificado e a imitação de um dispositivo USB. Ao conectar o aparelho ao PC, ele envia os dados armazenados, que são reconhecidos pelo Hello e a todos os documentos do sistema protegidos por sua biometria.

Imagem: Divulgação/CyberArk

Segundo a CyberArk, a parte mais desafiadora do processo foi obter uma imagem da pessoa para ganhar acesso ao sistema. No entanto, ela explica que isso pode ser feito através de uma máquina fotográfica com suporte a infravermelho ou através de um quadro de cor — algo que consome tempo, mas poderia ser feito por um designer gráfico que domine o algoritmo ML.

Processo difícil de repetir

“Nossa descoberta mostra que dispositivos USB podem ser clonados e que qualquer dispositivo USB pode imitar outro dispositivo USB. Identificar um dispositivo USB por um descritor fornecido pelo dispositivo é o principal motivo para isso. O sistema operacional não pode validar a autenticidade de tal dispositivo, pelo menos não de acordo com a especificação USB”, explica a empresa de segurança.

Embora as descobertas signifiquem que o Windows Hello possui brechas de segurança que não devem ser fechadas, a complexidade do caso faz com que seja bastante difícil que a ação da CyberArk seja repetida. Além de exigir diversas informações e conhecimento técnico, ela também exige acesso físico à máquina com o sistema de biometria, caso no qual existem outras ferramentas para garantir acesso ao sistema.

Fonte: SlashGear, CyberArk

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.