问题在于Windows Hello似乎很愿意接受任何具有红外功能的相机作为验证相机 , 这让黑客可以篡改实际数据流。
研究人员使用特制设备向 Windows Hello 发送两帧数据,第1帧是目标用户的真实红外捕获、第2帧是空白黑帧。其中真实红外捕获用来获得初步的认证 , 而空白的黑帧则用来欺骗 Windows Hello 活体检测机制达到验证目的。
CyberArk Labs 的研究人员早在 3 月份发现了该漏洞,并该漏洞命名为 CVE-2021-34466
研究人员向微软通报漏洞后已经获得微软公司的确认,微软表示此漏洞将在后续更新进行修复。另外微软还提供用于增强生物识别安全性的临时性方案,该方案可以限制只使用来自 OEM 制造商信任的摄像头。
(蓝点网,CyberArk)
也就是说打了补丁之后,你买的灵车摄像头可能就不能用于 Windows Hello 了