显示绕过Windows Hello面部识别专门准备的照片

而针对这种技术的内置保护不适用于所有的硬件。

一家德国安全公司SySS的安全研究人员表示,通过使用专门准备的照片打印输出,可以欺骗Windows Hello面部识别。微软在今年早些时候的Windows 10 Creators Update中增加了一个“增强的反欺骗”模式,它正确地击败了攻击,但它既没有默认启用,也没有与所有Windows Hello硬件兼容。

任何一种基于面部识别的生物认证系统的显而易见的问题是,照片​​有多容易被欺骗?由于很容易拍到某人的脸部照片,而且往往没有他们的了解,所以可以被照片所迷惑的脸部识别系统并没有多大用处。Windows Hello系统有两个主要部分:物理硬件,Hello是一个带有红外照明和检测的网络摄像头,以及软件算法,它们是微软生物识别框架的一部分。有了这个设计,微软可以改进和改进算法,而且改进应该适用于任何兼容的硬件。

Windows Hello的红外线要求应该防止被普通照片欺骗。那么SySS的研究人员就是用红外相机拍摄的照片。然后调整照片以改变其对比度和亮度,并在激光打印机上以低分辨率打印。最终得到的照片成功地在两个独立设备上通过Hello验证用户:使用集成相机的Surface Pro 4和使用离散LilBit USB相机的笔记本电脑。

虽然这样生成的图片不会欺骗RGB摄像机,但它看起来足够接近红外摄像机期望看到的让攻击者登录。

Windows 10创建者更新版本1703包含一个名为“增强的反欺骗”的少量记录功能。通过更改注册表项或组策略设置启用,此设置的确切目的或效果不完全清楚。看起来,它集成了红外和RGB数据,使得仅有红外线的照片可以与真实的人类区分开来。启用此设置后,图片不再有效。

但是,这个设置不是万能的。除了启用它的尴尬之外 - 没有用户界面,所以修改注册表是唯一的办法 - 它不适用于所有的Hello硬件,并且没有明确的方法知道它是否会起作用。集成到微软Surface设备的摄像头支持增强的反欺骗,但是被测试的LilBit却不支持。我们也没有看到与规格表中披露的这个功能的兼容性,无论是笔记本电脑或独立的相机。另外,即使与您的硬件兼容,默认情况下,该设置也不会启用,至少对于已升级到Windows 10 1703的系统而言。

综上所述,所有这些意味着每个Windows Hello用户都应该启用的安全选项可能不会启用,甚至可能无法工作。

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: