Эксперты нашли способ обойти Windows Hello с помощью кастомной USB-камеры

Екатерина Быстрова 19 Июля 2021 - 08:48

Домашние пользователи

...

Система аутентификации Windows Hello, узнающая владельца Windows-устройства по отпечатку пальца или лицу, оказалась не настолько безопасна, как предполагалось ранее. Команда исследователей CyberArk Labs смогла найти ряд уязвимостей и обойти Windows Hello.

Согласно данным Microsoft, Windows Hello используют 85% пользователей Windows 10. Именно по причине такой популярности специалисты решили проверить систему аутентификации на наличие дыр.

По словам команды CyberArk Labs, выявленный логический баг позволяет атакующему с физическим доступом к устройству «подсунуть» системе воссозданное фото пользователя с помощью подключённой кастомной USB-камеры.

«У нас нет информации об использовании этой уязвимости в реальных атаках, однако брешь может сыграть на руку злоумышленникам, интересующимся компьютерами учёных, журналистов, активистов или высокопоставленных лиц», — пишут исследователи.

Эксперты CyberArk Labs опубликовали видео, демонстрирующее эксплуатацию описанной уязвимости. На ролике видно, что специалисты использовали кастомную USB-камеру для передачи сделанного заранее инфракрасного снимка жертвы.

Оказалось, что Windows Hello, работая только с веб-камерами, оснащёнными инфракрасным датчиками вдобавок к RGB, даже не смотрит на RGB-данные. Другими словами, одного инфракрасного снимка владельца компьютера вкупе с чёрной рамкой хватает для разблокировки устройства.

Исследователи подчеркнули, что к этому вектору атаки могут быть уязвимы и другие системы аутентификации, позволяющие использовать стороннюю USB-камеру в качестве датчика биометрии.

Тем не менее нельзя сказать, что всё настолько плохо, ведь для успешной эксплуатации уязвимости злоумышленникам потребуются снимки хорошего качества, при этом не стоит забывать и о необходимости физического доступа к атакуемому устройству.

Следующая главная новость »

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!

Яков Шпунт 09 Апреля 2026 - 09:16

Фишинг Мошенничество Онлайн-мошенничество Домашние пользователи

Перед Пасхой мошенники запустили волну атак через открытки и чат-ботов

В преддверии Пасхи злоумышленники массово рассылают пасхальные открытки с фишинговыми ссылками или вредоносными вложениями. Чаще всего для этого используются мессенджеры. Такие сообщения могут сопровождаться предложениями поучаствовать в конкурсах, благотворительных акциях или купить куличи.

О росте активности мошенников сообщает РИА Новости со ссылкой на платформу «Мошеловка».

Вредоносные приложения также маскируются под трансляции богослужений и других церемоний, включая схождение Благодатного огня.

Встречаются и другие схемы мошенничества. Так, юрист, подполковник внутренней службы в отставке Елена Браун рассказала РИА Новости о схеме, связанной с якобы возможностью списания долгов:

«Такие сообщения поступают от злоумышленников через фальшивые банковские приложения или по телефону — для списания долга они просят граждан передать личные данные, коды из СМС или другую информацию».

Ещё одной распространённой формой мошенничества остаётся фишинг. В качестве повода для перехода на поддельную страницу злоумышленники используют предложения «поставить свечку онлайн» или «оставить записку за здравие».

Цель таких схем, как предупреждает юрист, — сбор персональных данных. Пасхальная тематика также используется при создании фальшивых сайтов магазинов и маркетплейсов.

Широко распространены, по словам Елены Браун, и псевдорозыгрыши в мессенджерах:

«Мошенники создают в Telegram чат-боты, предлагающие получить пасхальные подарки или премиум-подписку от имени Telegram, Roblox или маркетплейсов. Чтобы получить бонусы в виде „пасхальных яиц“, пользователям предлагают подписаться на сомнительные каналы „спонсоров“».

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!