Lançado em 2015, o sistema Windows Hello permite fazer login no Windows 10 através de reconhecimento facial, de impressão digital ou de um pin específico. De acordo com estimativas da Microsoft, acredita-se que 85% dos utilizadores do sistema operativo recorrem ao Windows Hello.

Porém, apesar de disponibilizar uma forma rápida de autenticação, o Windows Hello não está a salvo de vulnerabilidades. Os investigadores da CyberArk descobriram uma falha que permitiria aos hackers contornar as medidas de segurança da Microsoft e “enganar” o sistema de reconhecimento facial.

Os investigadores da empresa de segurança explicam que o Windows Hello funciona com câmaras que têm sensores RGB e infravermelhos. Porém, ao longo do processo de investigação, os especialistas descobriram que, em certos casos, o sistema só processa os dados recolhidos pelo sensor de infravermelhos.

Para confirmarem a sua teoria, os investigadores desenvolveram um equipamento que se liga ao computador via USB. O dispositivo, que se faz passar por uma webcam compatível com o sistema, envia um conjunto de imagens RGB e de infravermelhos. Neste caso, ao enviarem imagens de infravermelhos de um utilizador e RGB do SpongeBob, apenas as primeiras foram reconhecidas, desbloqueando o computador.

Assim, os atacantes que conseguissem repetir a “proeza” de criar um dispositivo semelhante, precisariam apenas de criar um único frame com uma imagem de infravermelhos da vítima, assim como um frame de imagem todo a preto, para entrarem no seu computador.

CyberArk | Esquema de ataque dos hackers
CyberArk | Esquema de ataque dos hackers créditos: CyberArk

O método em si pode não parecer muito prático e os investigadores indicam que, para já, não têm provas de que foi utilizado por atacantes. No entanto, considerando que o mundo do cibercrime está sempre em busca de novas formas de levar a cabo as suas intenções, há a possibilidade de um atacante recorrer à tática para invadir um computador ao qual tenha acesso privilegiado. Perante as conclusões da investigação, a Microsoft já lançou uma atualização para resolver a vulnerabilidade.