Login biométrico Windows Hello pode ser burlado por câmera USB falsa
Por Felipe Gugelmin | Editado por Claudio Yuge | 19 de Julho de 2021 às 21h30
Criado pela Microsoft como uma forma de garantir o login seguro do Windows, o sistema Hello usa câmeras de vídeo autenticadas para provar a identidade dos usuários. No entanto, uma pesquisa realizada pela CyberArk mostra que uma brecha de segurança permite usar uma câmera USB falsa para burlar a tecnologia e ganhar acesso ao sistema operacional.
- Erro em biometria facial incrimina jovem negra e reacende debate sobre racismo
- Auth0 lança ferramenta que substitui senhas tradicionais por biometria
- Golpistas coletam biometria facial para financiar automóveis em nome da vítima
Enquanto a empresa exige que as câmeras que usam o sistema Windows Hello possuam sensores RBG e infravermelho (IR) para funcionar, a CyberArk descobriu que somente o sensor IR realmente era necessário e que qualquer quadro RBG poderia ser convertido para um IR com facilidade. Segundo os pesquisadores, a vulnerabilidade existe porque nem todos os dispositivos compatíveis com o sistema possuem câmeras integradas e ele precisa dar suporte a dispositivos externos.
A partir dessas informações, eles criaram um ataque que usa a recriação da imagem infravermelha da vítima, um quadro RGB modificado e a imitação de um dispositivo USB. Ao conectar o aparelho ao PC, ele envia os dados armazenados, que são reconhecidos pelo Hello e a todos os documentos do sistema protegidos por sua biometria.
Segundo a CyberArk, a parte mais desafiadora do processo foi obter uma imagem da pessoa para ganhar acesso ao sistema. No entanto, ela explica que isso pode ser feito através de uma máquina fotográfica com suporte a infravermelho ou através de um quadro de cor — algo que consome tempo, mas poderia ser feito por um designer gráfico que domine o algoritmo ML.
Processo difícil de repetir
“Nossa descoberta mostra que dispositivos USB podem ser clonados e que qualquer dispositivo USB pode imitar outro dispositivo USB. Identificar um dispositivo USB por um descritor fornecido pelo dispositivo é o principal motivo para isso. O sistema operacional não pode validar a autenticidade de tal dispositivo, pelo menos não de acordo com a especificação USB”, explica a empresa de segurança.
Embora as descobertas signifiquem que o Windows Hello possui brechas de segurança que não devem ser fechadas, a complexidade do caso faz com que seja bastante difícil que a ação da CyberArk seja repetida. Além de exigir diversas informações e conhecimento técnico, ela também exige acesso físico à máquina com o sistema de biometria, caso no qual existem outras ferramentas para garantir acesso ao sistema.