Je kan Windows 10 Hello-gezichtsherkenning misleiden met een foto
Twee onderzoekers ontdekten dat je de gezichtsherkenning van Windows 10 eenvoudig kan misleiden met een foto. De twee mannen slaagden erin een Surface Pro te ontgrendelen met een foto, wanneer het toestel Windows 10 versie 1607 gebruikte. Zelfs wanneer de onderzoekers het toestel updateten naar versie 1709 – de Windows 10 Fall Creators-update – werkte Windows Hello niet naar behoren, al moest de gebruikte foto wel lichtjes gewijzigd worden.
Infraroodfoto
In een video is te zien hoe één van de onderzoekers een foto gebruikt van zichzelf om zijn Surface Pro te ontgrendelen. Het beeld is een infraroodfoto met een resolutie van slechts 340 bij 340 pixels. Wanneer de man het blad voor de camera van zijn toestel houdt, verdwijnt het loginscherm en komt het bureaublad naar boven.
Nadat de onderzoekers hun Surface Pro naar versie 1709 updateten, werkt de voorgaande foto niet langer. Wanneer de mannen een zwart-wit-infraroodfoto gebruiken met een resolutie van 480 bij 480 pixels werkt de hack echter wederom. “Naar gelang de Windows 10-versie moet je een lichtjes verschillende foto gebruiken, maar deze extra moeite is voor een hacker verwaarloosbaar,” vinden de onderzoekers.
Beveiliging
Indien de camera van je laptop geavanceerd genoeg is, kan je ‘enhanced anti-spoofing’ inschakelen. In dat geval konden de onderzoekers slechts versie 1511 en 1607 kraken. De overige Windows 10-varianten bleken veilig te zijn. Schakel je de veiligheidsfunctie niet in, dan werkt een foto voor alle versies van Windows 10.
Om te voorkomen dat een hacker je toestel ontgrendelt met een foto schakel je de enhanced anti-spoofing-optie in. Jammer genoeg werkt deze functie niet op alle Windows 10-toestellen.
