Функцию распознавания лиц в Windows 10 можно обмануть фотографией

Функцию распознавания лиц в Windows 10 можно обмануть фотографией

Функцию распознавания лиц, реализованную в Windows 10 Creators Update, получившую имя Hello, можно обмануть обычной фотографией. Об этой уязвимости сообщили эксперты компании Syss, проводящей тестирования на проникновение.

Даже если вы установили октябрьские обновления, которые, по идее, устраняют недостаток (билд 1703 или 1709), функцию распознавания лиц придется настроить с нуля, чтобы исключить подобный вектор атаки.

Простые атаки типа «спуфинг» — в этом случае достаточно напечатанной фотографии авторизованного пользователя (сделанной на фронтальную камеру), чтобы злоумышленник мог войти в заблокированную систему Windows 10.

По словам Syss, уязвимость затрагивает как стандартную конфигурацию Windows Hello, так и ее расширенную функцию защиты от спуфинга.

«Если защита от спуфинга активирована, злоумышленнику придется использовать немного измененную фотографию с другими атрибутами, но сути и простоты вектора атаки это не меняет», — отмечают эксперты.

Исследователи протестировали свою атаку на Dell Latitude под управлением Windows 10 Pro, сборка 1703, а также на Microsoft Surface Pro с билдом 1607.

Ниже мы приводим три видеоролика с доказательством концепции.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

Неизвестные провели дефейс Linux.org, опубликовав непристойную картинку

Неизвестные киберпреступники провели дефейс сайта linux.org, заменив легитимное содержимое картинкой непристойного содержания и тирадой, направленной против внедрения документа Code of Conduct.

Стоит отметить, что Linux.org не является официальным ресурсом консорциума Linux Foundation, он представляет собой обычное комьюнити для любителей проектов с открытым исходным кодом, которые помогают пользователям Linux решать возникающие проблемы.

Этот сайт не хранит никакой конфиденциальной информации, следовательно, злоумышленники использовали его именно для того, чтобы выразить свой протест инициативе Code of Conduct. Эти новые правила включают пункт, направленные на противостояние сексуальному домогательству.

Пользователь Twitter под ником pql сообщил о взломе Linux.org, приложив скриншот дефейса:

На картинке можно увидеть, что на сайте красуется надпись «G3T 0WNED L1NUX N3RDZ». Другая версия дефейса была куда более злонамеренна — на ней содержалась более жесткая надпись «FUCK THE [CODE OF CONDUCT] FUCK [SOCIAL JUSTICE WARRIORS]».

Помимо этого, киберпреступники привели персональную информацию разработчика Linux, который является трансгендером. Эти данные включали домашний адрес и номер социального страхования.

«Похоже, что кто-то играется с нашими DNS. <…> Посмотрю подробнее чуть позже», — говорится в официальном Twitter-аккаунте Linux.org.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

RSS: Новости на портале Anti-Malware.ru