La autenticación biométrica es una parte clave de los planes de la industria tecnológica para hacer que el mundo esté libre de contraseñas. Pero un nuevo método para engañar al sistema de reconocimiento facial Windows Hello de Microsoft muestra que un pequeño ajuste de hardware puede engañar al sistema para que se desbloquee cuando no debería.
Servicios como FaceID de Apple han hecho que la autenticación de reconocimiento facial sea más común en los últimos años, con Windows Hello impulsando la adopción aún más. Apple solo le permite usar FaceID con las cámaras integradas en iPhones y iPads recientes, y todavía no es compatible con Mac. Pero debido a que el hardware de Windows es tan diverso, el reconocimiento facial de Hello funciona con una variedad de cámaras web de terceros. Sin embargo, donde algunos podrían ver la facilidad de adopción, los investigadores de la firma de seguridad CyberArk vieron una vulnerabilidad potencial.
Esto se debe a que no puede confiar en que una cámara web antigua ofrezca protecciones sólidas en la forma en que recopila y transmite datos. El reconocimiento facial de Windows Hello solo funciona con cámaras web que tienen un sensor de infrarrojos además del sensor RGB estándar. Pero resulta que el sistema ni siquiera mira los datos RGB. Lo que significa que con una imagen infrarroja directa de la cara de un objetivo y un marco negro, los investigadores descubrieron que podían desbloquear el dispositivo protegido con Windows Hello de la víctima.
Al manipular una cámara web USB para proporcionar una imagen elegida por el atacante, los investigadores pudieron engañar a Windows Hello para que pensara que la cara del propietario del dispositivo estaba presente y desbloqueada.
“Intentamos encontrar el punto más débil del reconocimiento facial y lo que sería más interesante desde el punto de vista del atacante, la opción más accesible”, explica Omer Tsarfati, investigador de la empresa de seguridad CyberArk. «Creamos un mapa completo del flujo de reconocimiento facial de Windows Hello y descubrimos que lo más práctico para un atacante sería pretender ser la cámara, ya que todo el sistema depende de esta entrada».
Microsoft llama al descubrimiento una «vulnerabilidad de omisión de la función de seguridad de Windows Hello» y lanzó parches el martes para solucionar el problema. Además, la compañía sugiere que los usuarios habiliten la «Seguridad de inicio de sesión mejorada de Windows Hello», que utiliza la «seguridad basada en virtualización» de Microsoft para cifrar los datos faciales de Windows Hello y procesarlos en un área de memoria protegida donde no se pueden modificar. La compañía no respondió a una solicitud de comentarios de WIRED sobre los hallazgos de CyberArk.
Tsarfati, quien presentará los resultados el próximo mes en la Conferencia de seguridad Black Hat en Las Vegas, dice que el equipo de CyberArk eligió observar la autenticación de reconocimiento facial de Windows Hello, en particular, porque ya se ha investigado mucho en la industria sobre el código PIN. cracking y robo de huellas dactilares. Agrega que el equipo se sintió atraído por la gran base de usuarios de Windows Hello. En mayo de 2020, Microsoft dijo que el servicio tenía más de 150 millones de usuarios. En diciembre, la empresa agregó que el 84,7 % de los usuarios de Windows 10 inician sesión con Windows Hello.
Aunque suene simple, muéstrele al sistema dos fotos y listo, estas omisiones de Windows Hello no serían fáciles de lograr en la práctica. La piratería requiere que los atacantes tengan una imagen infrarroja de buena calidad de la cara del objetivo y tengan acceso físico a su dispositivo. Pero el concepto es importante ya que Microsoft continúa impulsando la adopción de Hello con Windows 11. La diversidad de hardware entre los dispositivos de Windows y el estado deplorable de la seguridad de IoT podrían combinarse para crear otras vulnerabilidades en la forma en que Windows Hello acepta datos faciales.