Windows Hello，相信大家都不陌生了。

畢竟一度被稱為 " 最簡單的登錄方式 " ——刷個臉，電腦就可以立馬解鎖。

但就在最近，它卻被曝出了一個大 bug：

只需外接一個 USB 攝像頭，2 幀圖像。

然后 " 啪的一下 "，就進來了……

Windows Hello 最近不太好

人臉解鎖，近幾年可以說是越發的普及。

像蘋果的 iPhone 和 iPad，就可以利用自帶的前置攝像頭來解鎖。

但 Windows 電腦的人臉識別解鎖，不僅可以用自帶攝像頭，也可以與第三方網絡攝像頭一起工作。

于是，這一點就成功引起了安全公司 CyberArk 一名研究員的注意。

他認為：

老式的網絡攝像頭，在收集和傳輸數據過程中，安全性是比較差的。

目前市場上很多刷臉解鎖，利用的都是 RGB 人臉解鎖方法。

但網絡攝像頭除了有 RGB 傳感器之外，還擁有紅外傳感器。

于是這名研究員便對 Windows Hello 做了一番研究。

真是 " 不看不知道，一看嚇一跳 "。

他驚奇地發現：

Windows Hello 甚至不看 RGB 數據。

什么意思？

黑客只需向 PC 發送兩幀，就可以直接騙過你的 Windows Hello。

其中一幀是目標的真實紅外捕捉數據，而另一幀是空白黑幀。

第二幀是用來欺騙 WindowsHello 的有效性驗證的。

操作也可以說是相當簡單了。

外接一個 USB 網絡攝像頭，傳送一個圖像，Windows Hello 就會誤以為 " 哦！主人出現了 " ……

對此，這名研究員做出了如下解釋：

我們試圖去找人臉識別中最脆弱的環節，以及看看什么方法是最有意思、最容易的。

我們創建了一個完整的 Windows Hello 面部識別流圖，發現 " 黑掉 " 它最簡單的方法，就是假裝一個攝像頭。

這是因為整個系統都依賴于它的輸入。

微軟回應：已出補丁

這種破解方式，聽上去確實有些簡單可行了。

于是，微軟這邊也立即作出了回應：

這是 Windows Hello 安全功能的繞過漏洞（bypass vulnerability）。

并且在本月的 13 日，已經發布了補丁來解決這一問題。

但是 CyberArk 公司對用戶還是做出了這樣的建議：

建議采用增強后的 Windows Hello 登錄方式。

這種方式是采用了微軟 " 基于虛擬化的安全 "，來對 Windows Hello 的面部數據進行加密。

而且這些數據是在內存保護區被處理的，這樣一來，數據就不會被篡改了。

那么接下來的一個問題是，CyberArk為什么要選擇攻擊 Windows Hello？

對此，公司的解釋如下：

從行業角度來看，研究人員對 PIN 破解和欺騙指紋傳感器等方式，已經做過大量的研究工作了。

其次，Windows Hello 所涵蓋的用戶數量可以說是相當龐大了。

據微軟去年 5 月的數據，這個服務擁有超過 1.5 億用戶；而去年 12 月，微軟更是表示：

84.7%的 Windows 10 用戶，使用 Windows Hello 登錄。

但或許你更關心的一點是，自己是否會受到影響。

就目前來看，這方面的擔憂也是大可不必了。

因為這種攻擊方法只是聽起來簡單，但對于不是黑客出身的人來說，實現起來還是有困難的。

包括網友們也留言道：

是很酷的一種方法，但普通用戶無需擔心。

最后，這位研究員表態道：

這種攻擊方式我們早就知道了，對于微軟還是挺失望的。

他們對攝像頭的安全性、可信度，沒有做更嚴格的要求。