Come fanno gli hacker a bypassare Windows Hello? La ricerca CyberArk individua una vulnerabilità che permette di aggirare il riconoscimento facciale per l’autenticazione. Alla vulnerabilità è stato assegnato un CVE (5.7). Secondo Microsoft, l’85% degli utenti di Windows 10 utilizza Windows Hello per l’autenticazione senza password.
CyberArk ha identificato un modo per manipolare il riconoscimento facciale che Windows Hello utilizza tramite una fotocamera USB esterna e una foto della vittima. Se i ricercatori si sono concentrati su Windows Hello, la loro scoperta può avere implicazioni per qualsiasi sistema di autenticazione che permette ad una fotocamera USB di agire come sensore biometrico.
Gli hacker riescono a bypassare Windows Hello
Questo tipo di attacco è particolarmente rilevante per uno spionaggio mirato. Dove l’obiettivo è noto e l’accesso fisico a un dispositivo è necessario. Caratteristica principale di Windows Hello, l’autenticazione biometrica sta registrando una rapida adozione presso tutte le realtà. Infatti le organizzazioni cercano di adottare soluzioni passwordless per aiutare a mitigare i numerosi rischi di sicurezza inerenti all’uso non sempre corretto delle password. Il sensore biometrico può però essere l’anello debole della catena. Esponendo potenzialmente il sistema ad attacchi legati alla manipolazione dei dati sul dispositivo dell’obiettivo.
Autenticazione e sensori biometrici
Il sistema operativo, in particolare Windows Hello, prende la sua decisione di autenticazione sulla base delle informazioni trasmesse da un sensore. La manipolazione di queste informazioni può portare ad un potenziale bypass dell’intero sistema di autenticazione. I dati raccolti provengono da una sola fonte: il sensore biometrico. L’input raccolto da questo sensore viene sottoposto a un’analisi biometrica, confrontando i dati con quelli precedentemente memorizzati. Dopo di che il risultato dell’analisi viene inviato al sistema di autenticazione.
Nel caso di un riconoscimento facciale, il sensore biometrico è una telecamera incorporata nel dispositivo. Il flusso di autenticazione di tutto il sistema si basa sull’input proveniente dalla telecamera, cosa che può creare una vulnerabilità. La telecamera essenzialmente invia al rispettivo sistema operativo il fotogramma che riceve dai suoi sensori. Esso contiene una persona di fronte alla telecamera. Poi, gli stessi fotogrammi sono esaminati attraverso l’analisi biometrica e confrontati con il set di dati predefinito situato nel disco rigido del computer. Se i dati ricevuti dal sensore corrispondono a quelli registrati, allora il sistema operativo consente l’accesso.
Ricerca CyberArk, come bypassare Windows Hello
Invece di usare qualcosa che solo l’utente conosce, il riconoscimento facciale prende informazioni “pubbliche” per concedere l’accesso nel sistema. Sfruttare il riconoscimento facciale per ottenere un accesso illecito è in sostanza un processo simile al furto di una password. Però molto più accessibile poiché i dati (il volto) sono già pubblici. La ricerca ha delineato un’interessante strategia d’attacco. Ossia catturare l’immagine di una vittima, salvare i fotogrammi, impersonare un dispositivo fotocamera USB. Infine inviare quei fotogrammi al sistema per la verifica. Il cuore di questa vulnerabilità sta nel fatto che Windows Hello considera attendibili fonti di dati esterne, che possono in qualche modo essere manipolate.