Windows Hello，相信大家都不陌生了。

　　毕竟一度被称为 “ 最简单的登录方式 ” ——刷个脸，电脑就可以立马解锁。

　　但就在最近，它却被曝出了一个大 bug：

　　只需外接一个 USB 摄像头，2 帧图像。

　　然后 “ 啪的一下 ”，就进来了……

　　Windows Hello 最近不太好

　　人脸解锁，近几年可以说是越发的普及。

　　像苹果的 iPhone 和 iPad，就可以利用自带的前置摄像头来解锁。

　　但 Windows 电脑的人脸识别解锁，不仅可以用自带摄像头，也可以与第三方网络摄像头一起工作。

　　于是，这一点就成功引起了安全公司 CyberArk 一名研究员的注意。

　　他认为：

　　老式的网络摄像头，在收集和传输数据过程中，安全性是比较差的。

　　目前市场上很多刷脸解锁，利用的都是 RGB 人脸解锁方法。

　　但网络摄像头除了有 RGB 传感器之外，还拥有红外传感器。

　　于是这名研究员便对 Windows Hello 做了一番研究。

　　真是 “ 不看不知道，一看吓一跳 ”。

　　他惊奇地发现：

　　Windows Hello 甚至不看 RGB 数据。

　　什么意思？

　　黑客只需向 PC 发送两帧，就可以直接骗过你的 Windows Hello。

　　其中一帧是目标的真实红外捕捉数据，而另一帧是空白黑帧。

　　第二帧是用来欺骗 WindowsHello 的有效性验证的。

　　操作也可以说是相当简单了。

　　外接一个 USB 网络摄像头，传送一个图像，Windows Hello 就会误以为 “ 哦！主人出现了 ” ……

　　对此，这名研究员做出了如下解释：

　　我们试图去找人脸识别中最脆弱的环节，以及看看什么方法是最有意思、最容易的。

　　我们创建了一个完整的 Windows Hello 面部识别流图，发现 “ 黑掉 ” 它最简单的方法，就是假装一个摄像头。

　　这是因为整个系统都依赖于它的输入。

　　微软回应：已出补丁

　　这种破解方式，听上去确实有些简单可行了。

　　于是，微软这边也立即作出了回应：

　　这是 Windows Hello 安全功能的绕过漏洞（bypass vulnerability）。

　　并且在本月的 13 日，已经发布了补丁来解决这一问题。

　　但是 CyberArk 公司对用户还是做出了这样的建议：

　　建议采用增强后的 Windows Hello 登录方式。

　　这种方式是采用了微软 “ 基于虚拟化的安全 ”，来对 Windows Hello 的面部数据进行加密。

　　而且这些数据是在内存保护区被处理的，这样一来，数据就不会被篡改了。

　　那么接下来的一个问题是，CyberArk为什么要选择攻击 Windows Hello？

　　对此，公司的解释如下：

　　从行业角度来看，研究人员对 PIN 破解和欺骗指纹传感器等方式，已经做过大量的研究工作了。

　　其次，Windows Hello 所涵盖的用户数量可以说是相当庞大了。

　　据微软去年 5 月的数据，这个服务拥有超过 1.5 亿用户；而去年 12 月，微软更是表示：

　　84.7%的 Windows 10 用户，使用 Windows Hello 登录。

　　但或许你更关心的一点是，自己是否会受到影响。

　　就目前来看，这方面的担忧也是大可不必了。

　　因为这种攻击方法只是听起来简单，但对于不是黑客出身的人来说，实现起来还是有困难的。

　　包括网友们也留言道：

　　是很酷的一种方法，但普通用户无需担心。

　　最后，这位研究员表态道：

　　这种攻击方式我们早就知道了，对于微软还是挺失望的。

　　他们对摄像头的安全性、可信度，没有做更严格的要求。