מערכת הזיהוי ללא סיסמא של מיקרוסופט מאפשרת להאקרים לפרוץ למחשבים למרות ההבטחה להגן עליהם טוב יותר על ידי שימוש באמצעים ביומטריים שכמעט בלתי אפשרי לזייף, כך חשפה אתמול חברת אבטחת המידע הישראלית CyberArk.

חוקרי סייברארק גילו כי מנגנון האבטחה הביומטרית של Windows Hello, המאפשר בשנים האחרונות לחבר מצלמות חיצוניות ייעודיות לזיהוי פנים, ניתן לפריצה קלה יחסית. הסיבה: למרות שהמנגנון מבוסס על שילוב של צילום רגיל של פני המשתמש יחד עם מידע מחיישן אור תת-אדום לווידוא כי מדובר באדם חי ולא בתמונה או מסיכה, בעת ביצוע זיהוי הוא מתייחס רק למידע התת-אדום באזורים מסוימים, ולא לתמונה. כך, האקר שרוצה לפרוץ למחשב של אדם ספציפי יכול לצלם אותו ללא ידיעתו באמצעות מצלמת תת-אדום, לשמור את הנתונים על מכשיר USB ייעודי ואז לחבר אותו למחשב של אותו אדם ולהזדהות כמצלמה. המחשב יתייחס לנתונים כאילו הם מוכיחים שהמשתמש נמצא מול המחשב – ויפתח אותו בפני ההאקר.

מדובר בפרצה שאמנם דורשת מעט עבודה מצד ההאקרים, וסביר להניח שרוב המשתמשים לא מהווים מטרות אטרקטיביות מספיק להצדיק אותה – אך רבים אחרים יכולים להוות מטרות להתקפה כזו. לפי נתונים שפרסמה מיקרוסופט בדצמבר האחרון, 84.7% ממשתמשי Windows 10, שהם מאות מיליוני מחשבים, משתמשים ב-Windows Hello כדי להזדהות ללא  צורך בסיסמא. עם זאת, סביר להניח כי רוב הנתון הזה בא ממשתמשים שמזדהים באמצעות חיישני טביעות אצבע, שנמצאים בהרבה יותר דגמי מחשבים מאשר מצלמות ייעודיות לזיהוי פנים. מצד שני, האפשרות שנוספה בשנתיים האחרונות לחבר מצלמה חיצונית, ועליה התבססו חוקרי סייברארק, הפכה גם את זיהוי הפנים לנפוץ יותר, מאחר ועתה ניתן להוסיף אותו למחשבים קיימים שהגיעו בלי היכולת הזו.

עומר צרפתי, חוקר במעבדות סייברארק, ציין כי "מתקפה מסוג זה יכולה לשרת תוקף שמכוון לחוקר, מדען, עיתונאי, פעיל חברתי או משתמש פריבילגי (כלומר בעל הרשאות גישה למידע רב) עם קניין רוחני רגיש על המחשב שלהם, למשל. המחקר של סייברארק התמקד ב-Windows Hello ובגרסת האנטרפרייז שלו (הגרסה הארגונית), Windows Hello for Business, אולם בפוטנציאל, כל מערכת אימות שמאפשרת חיבור מכשיר מצלמת USB של צד שלישי כחיישן ביומטרי עלול להיות יעד למתקפה".

החברה דיווחה על הפרצה למיקרוסופט, ואתמול שוחרר עדכון שאמור לפתור אותה – אך הוא דורש מהמשתמש או הארגון המנהל את המחשב לבחור להגביל את גישת זיהוי הפנים למצלמה המובנית של המחשב בלבד.