Hackers burlam Windows Hello com câmera USB falsa

Lançado em julho de 2015, o Windows Hello prometia ser a solução definitiva para a autenticação de computadores pessoais ou corporativos. Esta semana, porém, hackers demonstraram que o recurso de segurança pode ser burlado por uma câmera USB falsa.

Enganando o Windows Hello

Desde que foi adicionado ao sistema operacional da Microsoft, o Windows Hello foi aprimorado e atualizado repetidamente. Um dos updates da ferramenta foi a possibilidade de utilizar câmeras externas para fazer a validação biométrica do usuário.

A novidade permitiria, por exemplo, utilizar o recurso em desktops ou em notebooks com a webcam avariada. Especialistas em segurança, no entanto, descobriram que o sistema pode ser enganado por uma câmera infravermelha para aceitar imagens falsas.

Reprodução: CyberArk Labs

O processo como um todo é complexo, mas seu funcionamento é simples. Segundo o CyberArk Labs, os hackers coletam imagens em infravermelho do alvo – com lentes de longa distância ou câmeras escondidas – e utilizam um dispositivo USB para enganar o PC.

Esse gadget customizado é reconhecido como uma câmera convencional e só precisa de dois frames, um com o retrato AR e outro inteiramente preto, para se passar por uma imagem em tempo real.

Mitigando o problema

A Microsoft já reconheceu a vulnerabilidade e sugeriu a utilização de um login aprimorado para uso em conjunto com o Windows Hello, que reduz consideravelmente o número de dispositivos aceitos como câmera externa.

Infelizmente, essa opção não é compatível com todos os aparelhos e computadores. Espera-se que a empresa solte uma correção para essa falha no futuro.

Fonte: MSPU