Os sistemas de reconhecimento facial estão cada vez mais presentes e cada vez mais confiamos neles para protegerem o acesso aos nossos dispositivos.
Estes sistemas, em que confiamos quase cegamente, estão a provar que são também vulneráveis e que podem ser contornados de forma fácil. O mais recente a cair nas mãos dos investigadores de segurança foi o Hello da Microsoft.
Já quase todos os sistemas operativos dão aos utilizadores a possibilidade de usarem sistemas de reconhecimento facial para acesso a zonas seguras, efetuar pagamentos ou, simplesmente, desbloquear o acesso aos sistemas operativos.
Depois de vários casos conhecidos de quebras na segurança destes sistemas, surgiu agora mais uma falha, associada ao Windows 10 e ao seu sistema de reconhecimento facial Hello. Especialistas de segurança da empresa SySS descobriram uma falha que permite desbloquear este sistema com uma fotografia de infravermelhos do utilizador. O curioso é que em versões mais antigas do Windows 10 esta falha é ainda mais simples de explorar.
Para além das diferentes versões do Windows 10 testadas, a equipa da SySS avaliou também uma série de computadores onde este sistema está disponível, tendo a falha sido descoberta no Surface da Microsoft e noutros equipamentos, como o Dell Latitude.
Não sendo uma falha simples de explorar, ela é bem real e pode ser usada em cenários reais, para acesso não autorizado a máquinas e computadores. Em sistemas mais antigos, a qualidade necessária para as fotografias a usar para explorar essa falha diminui.
As recomendações destes especialistas são apenas três. A primeira é que todos os sistemas sejam atualizados para a versão Fall Creators Update do Windows 10, onde o Hello é mais robusto e requer uma precisão muito maior para funcionar.
A segunda recomendação vai no sentido de que este sistema biométrico seja recalibrado em máquinas que o usem, sendo para isso recolhidas novas imagens do utilizador. Por último, é também aconselhado que seja ativado o sistema anti-spoofing do Hello, que pode ser encontrado nas versões mais recentes.
A Microsoft ainda não se pronunciou, apesar de ter já sido notificada pelo SySS para este problema. No entanto, e dado que a Fall Creators Update parece ser menos vulnerável, deverá ter já endereçado este problema.
Depois do sistema de reconhecimento facial da Samsung ter sido quebrado com uma foto e o próprio Face ID ter tido problemas com gémeos e outras pessoas, é agora a vez do Windows 10 ser a vítima e apresentar vulnerabilidades graves de segurança. Este era um sistema apresentado como sendo seguro e que terá servido de exemplo a outros, para mostrar a sua robustez, que agora cai por terra.