นักวิจัยด้านความปลอดภัยสามารถเลี่ยงมาตรการตรวจสอบลายนิ้วมือของ Windows Hello ได้ นักวิจัยจาก Blackwing Intelligence ในนิวยอร์ก เห็นได้ชัดว่าสามารถหลีกเลี่ยงการตรวจสอบลายนิ้วมือได้ บนแล็ปท็อป Dell, Lenovo และ Microsoft โดยใช้ประโยชน์จากข้อบกพร่องในเซ็นเซอร์ลายนิ้วมือ โดยเฉพาะอย่างยิ่งจากผู้ผลิตชั้นนำ Goodix, Synaptics และ ELAN
บนเว็บไซต์ของมัน Blackwing Intelligence ได้เผยแพร่โพสต์ ให้รายละเอียดว่าสามารถใช้การโจมตี MitM (“Man in the Middle”) ที่ใช้ USB เพื่อเลี่ยงผ่านการรับรองความถูกต้องของ Windows Hello และเข้าถึงอุปกรณ์ได้อย่างไร การค้นพบนี้ถูกนำเสนอในการประชุม Microsoft BlueHat เมื่อเดือนที่แล้ว ในปัจจุบันยังไม่ชัดเจนว่า Microsoft จะดำเนินการแก้ไขปัญหาอย่างไร
ซอฟต์แวร์จดจำใบหน้าสำหรับ Windows 10: ดีที่สุดสำหรับปี 2023
Microsoft ได้ผลักดันมาตรการตรวจสอบสิทธิ์ไบโอเมตริกซ์มาระยะหนึ่งแล้ว และรายงานในปี 2020 ว่ามากถึงเกือบ 85 เปอร์เซ็นต์ ของผู้ใช้แล็ปท็อปบน Windows ใช้ Windows Hello เพื่อลงชื่อเข้าใช้ Windows 10 (โดยคำนึงถึงการเข้าสู่ระบบที่ตรวจสอบสิทธิ์ด้วย PIN แบบง่าย)
แม้ว่าจะได้รับการขนานนามว่าเป็นวิธีที่ปลอดภัยกว่าในการปกป้องอุปกรณ์ Windows แต่มาตรการการเข้าสู่ระบบด้วยไบโอเมตริก เช่น ลายนิ้วมือ การสแกนและการจดจำใบหน้านั้นไม่สามารถจะเข้าใจผิดได้ เช่นเดียวกับการนำเสนอ BlueHat ของ Blackwing Intelligence แสดง ไม่กี่ปีที่ผ่านมา
Cyberark Labs สามารถพิสูจน์แนวคิดได้ แสดงให้เห็นว่าสามารถข้ามเทคโนโลยีการจดจำใบหน้าของ Windows Hello ได้อย่างไร โดยใช้ USB แบบกำหนดเองที่โหลดรูปถ่ายใบหน้าของเป้าหมาย Microsoft สามารถแก้ไขช่องโหว่นี้ได้ในภายหลังอย่างไรก็ตาม คุณลักษณะการตรวจสอบความถูกต้องด้วยไบโอเมตริกซ์กำลังแพร่หลายมากขึ้น รวมถึงบนอุปกรณ์ Windows ด้วย
