Cyberark şirketinin yaptığı güvenlik araştırmasına göre Windows Hello, sahte USB kamera cihazıyla geçilebiliyor.
Akıllı telefonlarda, dizüstü bilgisayarlarda, hatta masaüstü bilgisayarlarda bile yüz tarama veya parmak izi tarama gibi biyometrik kimlik doğrulama yöntemleri kullanıyor. Microsoft’un Windows Hello ismindeki oturum açma seçeneği de kolaylık ile güvenliği bir araya getirmek için kullanılan yüz tarama sistemi olarak bilinmekte. Ancak yeni gerçekleştirilen çalışmaya göre Windows Hello, sahte USB kamera aygıtıyla geçilebiliyor. Uzmanlar durumun güvenlik zafiyetine sebep olabileceğini söylüyor ama bu risk tahmin edildiği gibi büyük sorunlar yaşatmayacak.
CyberArk’taki güvenlik araştırmacılarının yaşadığı süreç, Windows Hello’yu veya en azından yüz tanıma sistemini kandırmanın çok da kolay olmadığını göstermekte. Windows Hello çalışabilmesi için teoride hem RGB hem de kızılötesi sensöre sahip bir kameraya ihtiyaç duyuyor. Uzmanlar, kendini bilgisayara RGB ve kızılötesi sensörlü USB kamera olarak tanıtan donanım geliştirdiler. Bu cihaz, bünyesinde bilgisayar sahibinin görüntü verilerini içeriyor ve Windows Hello’ya bu verileri göndererek oturum açılmasını sağlıyor. Ayrıca araştırmacılar çeşitli testlerden sonra sadece kızılötesi sensöründen elde edilen verilerin Windows Hello’yu geçmekte yeterli olduğunu da ortaya çıkardı.
CyberArk’a göre bu güvenlik açığı, Windows Hello’nun harici cihazları biyometrik kimlik doğrulama için veri kaynağı olarak görmesinden kaynaklanıyor. Diğer taraftan Windows işletim sistemine sahip her bilgisayarda standart bir kamera bulunmadığından, Microsoft‘un harici kameraları veri kaynağı şeklinde varsaymasından başka pek seçeneği gözükmüyor. CyberArk ayrıca bahsedilen güvenlik açığından faydalanmanın çok zor olduğunu da belirtti. Bu sebeple riskin çok az olduğunu söyleyebiliriz. Konuyla alakalı düşüncelerinizi yorumlarda paylaşmayı unutmayın.
