صممت شركة مايكروسوفت نظام المصادقة Windows Hello ليكون متوافقًا مع كاميرات الويب عبر العديد من العلامات التجارية. ولكن هذه الميزة المصممة لسهولة الاعتماد قد تجعل التكنولوجيا أيضًا عرضة للهجمات.


ويعتبر التوثيق الحيوي جزء أساسي من خطط صناعة التكنولوجيا لجعل العالم دون كلمة مرور. وجعلت خدمات مثل FaceID من آبل مصادقة التعرف على الوجه أكثر شيوعًا في السنوات الأخيرة، مع زيادة اعتماد Windows Hello.


وتسمح لك آبل باستخدام FaceID مع الكاميرات المضمنة في أجهزة آيفون وآيباد الحديثة فقط، ولا تزال غير مدعومة عبر أجهزة ماك.



ولكن بالنظر إلى تنوع أجهزة ويندوز، فإن Windows Hello تعمل مع مجموعة من كاميرات الويب التابعة لجهات خارجية.


وفي حين قد يرى البعض سهولة في التبني، رأى باحثون من شركة الأمن CyberArk ثغرة أمنية محتملة.


وكما ذكرت التقارير، تمكن الباحثون من خداع نظام التعرف على الوجه Windows Hello باستخدام صور لوجه مالك الحاسب.


ويتطلب نظام مصادقة مايكروسوفت Windows Hello استخدام الكاميرات مع كل من مستشعرات RGB والأشعة تحت الحمراء. ولكن عند التحقق من نظام المصادقة، وجد الباحثون أنه يعالج إطارات الأشعة تحت الحمراء فقط.


ومن أجل التحقق من النتائج، أنشأ الباحثون جهاز USB مخصصًا، وقاموا بتحميله بصور الأشعة تحت الحمراء للمستخدم وصور RGB للشخصية الكرتونية سبونج بوب Spongebob.


وتعرف Windows Hello على الجهاز ككاميرا USB، وتم إلغاء القفل باستخدام صور الأشعة تحت الحمراء للمستخدم فقط.


علاوة على ذلك وجد الباحثون أنهم لا يحتاجون حتى إلى صور متعددة بالأشعة تحت الحمراء، إذ يمكن لإطار واحد من الأشعة تحت الحمراء بإطار أسود واحد فتح جهاز حاسب محمي بنظام Windows Hello.


نظام مايكروسوفت للمصادقة قابل للخداع

يكون من الصعب للغاية اقتحام جهاز حاسب شخص ما باستخدام هذه التقنية. وذلك بالنظر إلى أن المهاجم بحاجة إلى صورة الأشعة تحت الحمراء للمستخدم.


ومع ذلك، لا تزال نقطة ضعف يمكن استغلالها من قبل أولئك الذين لديهم دوافع خاصة للتسلل إلى جهاز حاسب شخص ما.


وتحتاج شركات التكنولوجيا إلى التأكد من أن تقنيات المصادقة الخاصة بها آمنة إذا أرادت الاعتماد أكثر فأكثر على القياسات الحيوية والابتعاد عن كلمات المرور كوسيلة للمصادقة.


وتسبب اختبار فريق CyberArk بإخضاع نظام مايكروسوفت Windows Hello للتدقيق. وذلك لأنه أحد أكثر أنظمة المصادقة دون كلمة مرور استخدامًا.


وأصدرت مايكروسوفت تصحيحات لما تسميه Hello Security Feature Bypass Vulnerability. وتقترح عملاقة التكنولوجيا أيضًا تشغيل أمان تسجيل الدخول المحسن في Windows Hello، الذي يشفر بيانات وجه المستخدم ويخزنها في منطقة محمية.