“Windows Hello人脸认证可以用红外图像突破”

安全公司 CyberArk 报告说，Windows Hello 是官方的 Windows 身份验证系统，允许您使用 PIN 码、指纹或面部识别登录，可以通过红外图像突破。

根据微软官方公告，Windows Hello 是使用最广泛的身份验证系统，85% 的 Windows 用户都采用了它。揭露 Windows Hello 漏洞的 CyberArk 注意到了 Windows Hello 还支持红外兼容网络摄像头的事实。在红外图像的情况下，基于验证过程不充分的假设，他们通过制作修改后的USB摄像头，将捕获或再现的目标人脸图像的红外图像版本传输到身份验证系统，从而成功突破了Windows Hello。

修改后的 USB 摄像头具有一种结构，当连接时，将预先制作的目标面部图像的红外图像版本传输到认证系统。当通过 USB 连接到 Windows Hello 规范时，相机会被自动识别并用于身份验证。连接后，点击人脸认证登录按钮成功突破。

Bypassing Windows Hello Without Masks or Plastic Surgery

据 CyberArk 称，Windows Hello 有使用普通相机时检测静止图像的功能，但存在该功能不适用于红外图像的错误。因此，CyberArk 表示问题在于网络摄像头处理数据的方式，而不是 Windows Hello 人脸识别功能本身的问题。

该漏洞的标识符为 CVE-2021-34466，并在 2021 年 7 月 13 日的安全更新中得到修复。 CyberArk 公告是在等待微软的回应后发布的。 CyberArk 也没有发现该技术被实际使用的证据。相关信息可以在这里找到。