Όπως φαίνεται, κάποιος θα μπορούσε να ξεκλειδώσει μία συσκευή χρησιμοποιώντας μία εικόνα υπερύθρων του προσώπου του χρήστη.

Η Microsoft σχεδίασε το Windows Hello για να είναι συμβατό με web κάμερες πολλών κατασκευαστών, αλλά αυτή η ευκολία συμβατότητας θα μπορούσε να κάνει την τεχνολογία ευάλωτη σε κακόβουλους χρήστες. Όπως αναφέρει η ιστοσελίδα Wired, ερευνητές ασφαλείας της CyberArk, κατάφεραν να ξεγελάσουν το σύστημα αναγνώρισης προσώπου του Windows Hello χρησιμοποιώντας εικόνες του προσώπου του κατόχου του υπολογιστή.

Το Windows Hello απαιτεί τη χρήση καμερών που διαθέτουν τόσο RBG αισθητήρες όσο και αισθητήρες υπερύθρων. Κατά τους ελέγχους, οι ερευνητές ασφαλείας διαπίστωσαν πως το σύστημα της Microsoft επεξεργάζεται μόνο τις εικόνες υπερύθρων. Για να επαληθεύσουν τα ευρήματά τους, οι ερευνητές χρησιμοποίησαν μία ειδικά προσαρμοσμένη USB συσκευή στην οποία αποθήκευσαν υπέρυθρες φωτογραφίες του κατόχου του υπολογιστή και RGB φωτογραφίες του Spongebob. Το Hello αναγνώρισε τη συσκευή ως κάμερα USB και ξεκλειδώθηκε με επιτυχία μόνο με τις φωτογραφίες υπερύθρων του χρήστη. Επιπλέον, οι ερευνητές διαπίστωσαν ότι δεν χρειάζονταν καν πολλές IR εικόνες, παρά μόνο ένα frame.

Το να ξεκλειδώσει κανείς τον υπολογιστή κάποιου χρησιμοποιώντας αυτήν την τεχνική θα ήταν πολύ δύσκολο στην πραγματικότητα, αφού ο εισβολέας χρειάζεται τουλάχιστον μία IR φωτογραφία του χρήστη. Παρ΄ όλα αυτά, εξακολουθεί να είναι μια αδυναμία που θα μπορούσε να εκμεταλλευτεί κάποιος που έχει σημαντικό κίνητρο να διεισδύσει σε έναν υπολογιστή. Οι εταιρείες τεχνολογίας πρέπει να διασφαλίσουν ότι οι τεχνολογίες ελέγχου ταυτότητας είναι ασφαλείς εάν θέλουν να βασίζονται όλο και περισσότερο στα βιομετρικά στοιχεία και θέλουν μελλοντικά να απομακρυνθούν από τους κωδικούς πρόσβασης. Η ομάδα της CyberArk επέλεξε να ελέγξει το Windows Hello καθώς είναι ένα από τα πιο ευρέως χρησιμοποιούμενα συστήματα ελέγχου ταυτότητας χωρίς να απαιτεί κωδικό πρόσβασης.

Η Microsoft έχει ήδη κυκλοφορήσει ενημερωμένες εκδόσεις κώδικα για αυτό που ονομάζει ως ευπάθεια «Hello Security Feature Bypass». Ο τεχνολογικός γίγαντας προτείνει επίσης την ενεργοποίηση του «Windows Hello enhanced sign-in security», το οποίο κρυπτογραφεί τα δεδομένα προσώπου του χρήστη και τα αποθηκεύει σε προστατευμένη περιοχή.