Windows Hello，相信大家都不陌生了。

　　畢竟一度被稱為 “ 最簡(jiǎn)單的登錄方式 ” ——刷個(gè)臉，電腦就可以立馬解鎖。

　　但就在最近，它卻被曝出了一個(gè)大 bug：

　　只需外接一個(gè) USB 攝像頭，2 幀圖像。

　　然后 “ 啪的一下 ”，就進(jìn)來(lái)了……

　　Windows Hello 最近不太好

　　人臉解鎖，近幾年可以說(shuō)是越發(fā)的普及。

　　像蘋果的 iPhone 和 iPad，就可以利用自帶的前置攝像頭來(lái)解鎖。

　　但 Windows 電腦的人臉識(shí)別解鎖，不僅可以用自帶攝像頭，也可以與第三方網(wǎng)絡(luò)攝像頭一起工作。

　　于是，這一點(diǎn)就成功引起了安全公司 CyberArk 一名研究員的注意。

　　他認(rèn)為：

　　老式的網(wǎng)絡(luò)攝像頭，在收集和傳輸數(shù)據(jù)過(guò)程中，安全性是比較差的。

　　目前市場(chǎng)上很多刷臉解鎖，利用的都是 RGB 人臉解鎖方法。

　　但網(wǎng)絡(luò)攝像頭除了有 RGB 傳感器之外，還擁有紅外傳感器。

　　于是這名研究員便對(duì) Windows Hello 做了一番研究。

　　真是 “ 不看不知道，一看嚇一跳 ”。

　　他驚奇地發(fā)現(xiàn)：

　　Windows Hello 甚至不看 RGB 數(shù)據(jù)。

　　什么意思？

　　黑客只需向 PC 發(fā)送兩幀，就可以直接騙過(guò)你的 Windows Hello。

　　其中一幀是目標(biāo)的真實(shí)紅外捕捉數(shù)據(jù)，而另一幀是空白黑幀。

　　第二幀是用來(lái)欺騙 WindowsHello 的有效性驗(yàn)證的。

　　操作也可以說(shuō)是相當(dāng)簡(jiǎn)單了。

　　外接一個(gè) USB 網(wǎng)絡(luò)攝像頭，傳送一個(gè)圖像，Windows Hello 就會(huì)誤以為 “ 哦！主人出現(xiàn)了 ” ……

　　對(duì)此，這名研究員做出了如下解釋：

　　我們?cè)噲D去找人臉識(shí)別中最脆弱的環(huán)節(jié)，以及看看什么方法是最有意思、最容易的。

　　我們創(chuàng)建了一個(gè)完整的 Windows Hello 面部識(shí)別流圖，發(fā)現(xiàn) “ 黑掉 ” 它最簡(jiǎn)單的方法，就是假裝一個(gè)攝像頭。

　　這是因?yàn)檎麄€(gè)系統(tǒng)都依賴于它的輸入。

　　微軟回應(yīng)：已出補(bǔ)丁

　　這種破解方式，聽(tīng)上去確實(shí)有些簡(jiǎn)單可行了。

　　于是，微軟這邊也立即作出了回應(yīng)：

　　這是 Windows Hello 安全功能的繞過(guò)漏洞（bypass vulnerability）。

　　并且在本月的 13 日，已經(jīng)發(fā)布了補(bǔ)丁來(lái)解決這一問(wèn)題。

　　但是 CyberArk 公司對(duì)用戶還是做出了這樣的建議：

　　建議采用增強(qiáng)后的 Windows Hello 登錄方式。

　　這種方式是采用了微軟 “ 基于虛擬化的安全 ”，來(lái)對(duì) Windows Hello 的面部數(shù)據(jù)進(jìn)行加密。

　　而且這些數(shù)據(jù)是在內(nèi)存保護(hù)區(qū)被處理的，這樣一來(lái)，數(shù)據(jù)就不會(huì)被篡改了。

　　那么接下來(lái)的一個(gè)問(wèn)題是，CyberArk為什么要選擇攻擊 Windows Hello？

　　對(duì)此，公司的解釋如下：

　　從行業(yè)角度來(lái)看，研究人員對(duì) PIN 破解和欺騙指紋傳感器等方式，已經(jīng)做過(guò)大量的研究工作了。

　　其次，Windows Hello 所涵蓋的用戶數(shù)量可以說(shuō)是相當(dāng)龐大了。

　　據(jù)微軟去年 5 月的數(shù)據(jù)，這個(gè)服務(wù)擁有超過(guò) 1.5 億用戶；而去年 12 月，微軟更是表示：

　　84.7%的 Windows 10 用戶，使用 Windows Hello 登錄。

　　但或許你更關(guān)心的一點(diǎn)是，自己是否會(huì)受到影響。

　　就目前來(lái)看，這方面的擔(dān)憂也是大可不必了。

　　因?yàn)檫@種攻擊方法只是聽(tīng)起來(lái)簡(jiǎn)單，但對(duì)于不是黑客出身的人來(lái)說(shuō)，實(shí)現(xiàn)起來(lái)還是有困難的。

　　包括網(wǎng)友們也留言道：

　　是很酷的一種方法，但普通用戶無(wú)需擔(dān)心。

　　最后，這位研究員表態(tài)道：

　　這種攻擊方式我們?cè)缇椭懒耍瑢?duì)于微軟還是挺失望的。

　　他們對(duì)攝像頭的安全性、可信度，沒(méi)有做更嚴(yán)格的要求。