Эксперты нашли способ обойти Windows Hello с помощью кастомной USB-камеры

Екатерина Быстрова 19 Июля 2021 - 08:48

Домашние пользователи

...

Система аутентификации Windows Hello, узнающая владельца Windows-устройства по отпечатку пальца или лицу, оказалась не настолько безопасна, как предполагалось ранее. Команда исследователей CyberArk Labs смогла найти ряд уязвимостей и обойти Windows Hello.

Согласно данным Microsoft, Windows Hello используют 85% пользователей Windows 10. Именно по причине такой популярности специалисты решили проверить систему аутентификации на наличие дыр.

По словам команды CyberArk Labs, выявленный логический баг позволяет атакующему с физическим доступом к устройству «подсунуть» системе воссозданное фото пользователя с помощью подключённой кастомной USB-камеры.

«У нас нет информации об использовании этой уязвимости в реальных атаках, однако брешь может сыграть на руку злоумышленникам, интересующимся компьютерами учёных, журналистов, активистов или высокопоставленных лиц», — пишут исследователи.

Эксперты CyberArk Labs опубликовали видео, демонстрирующее эксплуатацию описанной уязвимости. На ролике видно, что специалисты использовали кастомную USB-камеру для передачи сделанного заранее инфракрасного снимка жертвы.

Оказалось, что Windows Hello, работая только с веб-камерами, оснащёнными инфракрасным датчиками вдобавок к RGB, даже не смотрит на RGB-данные. Другими словами, одного инфракрасного снимка владельца компьютера вкупе с чёрной рамкой хватает для разблокировки устройства.

Исследователи подчеркнули, что к этому вектору атаки могут быть уязвимы и другие системы аутентификации, позволяющие использовать стороннюю USB-камеру в качестве датчика биометрии.

Тем не менее нельзя сказать, что всё настолько плохо, ведь для успешной эксплуатации уязвимости злоумышленникам потребуются снимки хорошего качества, при этом не стоит забывать и о необходимости физического доступа к атакуемому устройству.

Следующая главная новость »

ИБ без ручного режима: как автоматизировать защиту в 2026?
Регистрируйтесь на эфир!

Яков Шпунт 27 Мая 2026 - 16:13

Мошенничество Онлайн-мошенничество Домашние пользователи

Мошенники пугают дачников штрафами от имени Росреестра

Росреестр предупреждает о мошенниках, которые действуют от имени ведомства и рассылают сообщения о «штрафах» за различные нарушения земельного законодательства. Такие сообщения содержат фишинговые ссылки: при переходе по ним злоумышленники могут похитить учётные записи на различных сервисах или платёжные данные.

Как сообщает «Российская газета», злоумышленники пользуются тем, что в российском земельном законодательстве появилось много изменений. В том числе речь идёт о нормах, связанных с необработанными участками и распространением на них инвазивных растений, например борщевика Сосновского.

Мошенники рассылают сообщения, в том числе от имени Росреестра, и сообщают о якобы назначенном штрафе. В письме или сообщении обычно есть ссылка, по которой предлагается оплатить штраф со скидкой. На деле она ведёт на фишинговый ресурс, где пользователь рискует передать злоумышленникам платёжные реквизиты или доступ к учётной записи на «Госуслугах».

В дальнейшем такие аккаунты могут использоваться для оформления кредитов от имени реального владельца или для шантажа, в том числе с угрозами продажи недвижимости и других последствий.

Заместитель руководителя Росреестра Максим Смирнов отметил, что ведомство привлекает к ответственности только по результатам контрольного или надзорного мероприятия и после составления протокола об административном правонарушении. Собственника уведомляют по установленным процедурам — заказным письмом или через «Госуслуги».

Если таких уведомлений не было, сообщения из других источников следует считать мошенническими. Росреестр, как и другие официальные структуры, не рассылает уведомления о штрафах через СМС или мессенджеры.

«Ни в коем случае не переходите по подозрительным ссылкам в СМС или в чатах в мессенджерах с угрозами штрафов за нарушения на участках — по этим каналам постановления о назначении такого административного наказания не распространяются», — напомнил Максим Смирнов.

Ранее злоумышленники уже действовали от имени Росреестра. Так, осенью 2025 года была выявлена кампания с использованием реальных данных об объектах недвижимости. Цели атак различались: помимо кражи аккаунтов, мошенники могли навязывать вредоносные приложения или развивать атаку для перевода крупных сумм на подконтрольные счета.

ИБ без ручного режима: как автоматизировать защиту в 2026?
Регистрируйтесь на эфир!