Система аутентификации Microsoft Windows Hello совместима с веб-камерами разных производителей, что делает её максимально простой в использовании. Однако такая универсальность может делать технологию менее защищённой перед злоумышленниками. В этом убедились специалисты из компании CyberArk, которым удалось обмануть Windows Hello с помощью изображения лица владельца компьютера.

Windows Hello совместима с разными веб-камерами, которые оснащены RGB- или инфракрасным датчиком. В ходе исследования было обнаружено, что в процессе аутентификации система обрабатывает только инфракрасные кадры. Чтобы проверить это предположение, исследователи изготовили специальное USB-устройство, в которое загрузили инфракрасные фотографии владельца ноутбука и изображения в формате RGB с мультипликационным героем Губкой Бобом. После подключения система Windows Hello определила устройство как USB-камеру и компьютер был успешно разблокирован с помощью инфракрасной фотографии.

Стоит отметить, что взломать с помощью этой техники чей-то компьютер будет крайне затруднительно, поскольку для этого необходимо получить инфракрасную фотографию владельца устройства. Тем не менее, это всё ещё недостаток безопасности системы Windows Hello, который теоретически может использоваться злоумышленниками. Разработчики из Microsoft уже выпустили исправление ошибки, которую в компании называли «уязвимость обхода функции безопасности Hello». Microsoft также предлагает использовать функцию усиленной безопасности входа с Windows Hello, после активации которой данные о лице пользователя шифруются и хранятся в отдельной защищённой области.