Notebookcheck Logo

Nowa luka w Windows Hello umożliwia hakerom logowanie się za pomocą własnej twarzy

Osoba w masce Guya Fawkesa patrząca na logo Windows (źródło zdjęcia: Peakpx i Ahmed Zayan via Unsplash; edytowane)
Osoba w masce Guya Fawkesa patrząca na logo Windows (źródło zdjęcia: Peakpx i Ahmed Zayan via Unsplash; edytowane)
Niecałe dwa miesiące po zademonstrowaniu luki w zabezpieczeniach "Face Swap", badacze ujawnili jeszcze większą lukę w systemie Windows. Niemiecka firma zajmująca się bezpieczeństwem ERNW ujawniła bardziej zaawansowany atak na Windows Hello, który umożliwia atakującym wstrzykiwanie własnych szablonów twarzy na konta ofiar.
Hack / Data Breach Software Security

ERNW zademonstrowało nowy atak na Windows Hello for Business firmy Microsoft. Firma zaprezentowała ten atak na konferencji Black Hat USA 2025. Ten nowy exploit następuje po ściśle powiązanym exploicie, który firma udostępniła w lipcu.

Ten nowy atak - nazwany "Faceplant" - pozwala atakującemu z uprawnieniami administracyjnymi na całkowite ominięcie logowania rozpoznawania twarzy innego użytkownika. Badacze wyjaśnili, że atakujący może najpierw zarejestrować swoją twarz na dowolnym komputerze, aby wygenerować szablon biometryczny. Dla laików, szablon biometryczny jest jak cyfrowa reprezentacja twarzy, którą komputer tworzy i zapisuje po zarejestrowaniu na nim twarzy lub odcisku palca. To jest to, czego komputer używa następnie do identyfikacji twarzy lub odcisku palca za każdym razem, gdy próbujesz użyć ich do odblokowania komputera.

W następnym kroku atakujący odszyfrowuje i wyodrębnia szablon. W ostatnim kroku atakujący wstrzykuje ten szablon do biometrycznej bazy danych ofiary na komputerze docelowym. Pozwala to atakującemu zalogować się jako ofiara przy użyciu własnej twarzy. Stanowi to znaczące odstępstwo od ataku Face Swap, o którym ERNW informował w lipcu.

Poprzedni atak poprzedni atak wymagał od atakującego zamiany identyfikatorów (są to w zasadzie tagi identyfikujące szablony) między dwoma kontami użytkowników już zarejestrowanymi na tym samym urządzeniu. Ten nowy atak idzie o krok wyżej; jego celem są szablony, a nie identyfikatory, a atakujący może wygenerować złośliwy szablon na dowolnym komputerze.

Źródło(a)

Insynuator ERNW

Powiązane artykuły

Microsoft i Phison nie były w stanie odtworzyć problemu w swoich testach (Źródło obrazu: Microsoft)
Microsoft i Phison zaprzeczają powiązaniu awarii dysku SSD z najnowszą aktualizacją systemu Windows 11 02/09/2025
ROG Xbox Ally X z nowym trybem Handheld Gaming w systemie Windows 11. (Źródło obrazu: Microsoft)
Potwierdzono, że MSI Claw 8 AI+ i inne popularne handheldy do gier otrzymają nowe ulepszenia systemu Windows 11 do gier 27/08/2025
Zrzut ekranu przedstawiający funkcję Windows 11 Phone Link. (Źródło obrazu: Microsoft)
Microsoft wprowadza funkcję cross-resume Spotify między Android i Windows 11 dla Insiderów, więcej aplikacji do naśladowania 25/08/2025
Asus ROG Xbox Ally i Xbox Ally X zostały wycenione odpowiednio na 549,99 USD i 899,99 USD. (Źródło zdjęcia: Asus, Unsplash, edytowane)
Potencjalnie irytujące: Pełnoekranowe doświadczenie ROG Xbox Ally wymaga ponownego uruchomienia w celu optymalizacji po przełączeniu z pulpitu Windows 22/08/2025
Nowy Govee TV Backlight 3 Pro już w...
Please share our article, every link counts!
Mail Logo
> laptopy testy i recenzje notebooki > Nowinki > Archiwum v2 > Archiwum 2025 09 > Nowa luka w Windows Hello umożliwia hakerom logowanie się za pomocą własnej twarzy
Chibuike Okpara, 2025-09- 5 (Update: 2025-09- 5)