Windows Hello Yüz Tanıma Sistemi Kırıldı: Hackerlar Başkasının Yüzüyle PC’nizi Açabilir!

Windows Hello Yüz Tanıma Sistemi Kırıldı: Hackerlar Başkasının Yüzüyle PC’nizi Açabilir!

Microsoft‘un, parolaların yerine geçmesi için öne çıkardığı ve en güvenli oturum açma yöntemlerinden biri olarak pazarladığı Windows Hello yüz tanıma sisteminde, kurumsal kullanıcıları hedef alan kritik bir güvenlik açığı keşfedildi. Las Vegas’ta düzenlenen Black Hat siber güvenlik konferansında sunum yapan Alman araştırmacılar Tillmann Osswald ve Dr. Baptiste David, bir bilgisayarda yerel yönetici (admin) haklarına sahip bir saldırganın, sisteme kendi yüzünü enjekte ederek başkasının bilgisayarını kolayca açabildiğini canlı bir şekilde gösterdi.

Bu bulgu, biyometrik güvenliğin bile, temel sistem mimarisindeki zayıflıklar nedeniyle nasıl aşılabileceğini gözler önüne seriyor.

Saldırı Nasıl Çalışıyor? Biyometrik Veritabanına Sızma

Araştırmacıların canlı demosunda, saldırı son derece basit ve hızlı bir şekilde gerçekleştirildi:

1. Meşru kullanıcı (David), kendi yüzüyle bilgisayarında oturum açtı.
2. Yerel yönetici erişimine sahip olan saldırgan (Osswald), birkaç satır kod çalıştırarak, daha önce başka bir bilgisayarda kaydettiği kendi yüz taramasını, hedef makinenin şifrelenmiş biyometrik veritabanına enjekte etti.
3. Saniyeler sonra, saldırgan bilgisayarın karşısına geçti ve Windows Hello, onun yüzünü sanki asıl kullanıcıymış gibi anında tanıyarak bilgisayarın kilidini açtı.

Sorunun Kaynağı Nedir?

Windows Hello, kurumsal bir ortamda ilk kurulduğunda, bir genel/özel anahtar çifti oluşturur. Ancak biyometrik verinin kendisi (yüzünüzün veya parmak izinizin şablonu), Windows Biyometrik Hizmeti (WBS) tarafından yönetilen şifrelenmiş bir veritabanında saklanır. Sorun, bazı uygulamalarda, bu veritabanını koruyan şifrelemenin, zaten yerel yönetici ayrıcalıklarını ele geçirmiş bir saldırganı durduramamasıdır. Saldırgan, bu veritabanının şifresini çözebilir, içine kendi verisini ekleyebilir ve yeniden şifreleyebilir.

Microsoft’un Çözümü: Gelişmiş Oturum Açma Güvenliği (ESS)

Microsoft’un bu soruna karşı geliştirdiği bir çözüm var: Gelişmiş Oturum Açma Güvenliği (Enhanced Sign-in Security – ESS). Bu teknoloji, tüm biyometrik kimlik doğrulama sürecini, sistemin sanallaştırma tabanlı güvenliği (VBS) tarafından yönetilen, tamamen izole edilmiş güvenli bir ortamda çalıştırır. Bu, yönetici haklarına sahip bir saldırganın bile bu hassas verilere erişmesini engeller.

Ancak bir sorun var: ESS’in çalışabilmesi için çok özel bir donanım seti gerekiyor:

• Donanım sanallaştırmayı destekleyen modern bir 64-bit işlemci.
• TPM 2.0 çipi.
• Firmware’de Secure Boot’un etkinleştirilmiş olması.
• Özel olarak sertifikalandırılmış biyometrik sensörler (kamera, parmak izi okuyucu).

Microsoft, bu koruma seviyesini yeni Copilot+ PC‘ler için zorunlu kılıyor, ancak araştırmacıların da belirttiği gibi, piyasadaki mevcut bilgisayarların birçoğu, özellikle de özel sertifikalı sensörlere sahip olmadığı için ESS’i desteklemiyor.

Ne Yapmalısınız? Bilgisayarınızın ESS Desteğini Nasıl Kontrol Edersiniz?

Araştırmacılara göre, bu sorunu temelden çözecek bir yama, mimari bir yeniden tasarım gerektirdiği için “çok zor” veya hatta imkansız olabilir. Bu nedenle, ESS desteği olmayan kurumsal bir makinede Windows Hello kullanıyorsanız, önerileri biyometrik özellikleri tamamen devre dışı bırakıp, bunun yerine bir PIN kodu kullanmanızdır.

Bilgisayarınızın ESS’i destekleyip desteklemediğini kontrol etmenin en kolay yolu şudur:

1. Ayarlar > Hesaplar > Oturum açma seçenekleri menüsüne gidin.
2. Burada, “Harici bir kamera veya parmak izi okuyucuyla oturum açın” etiketli bir seçenek görebilirsiniz.
3. Eğer bu anahtar Kapalı ise, ESS aktiftir. Eğer Açık konuma getirirseniz, ESS’i devre dışı bırakmış olursunuz.

Bu araştırma, en gelişmiş güvenlik özelliklerinin bile, temel sistem mimarisindeki zayıflıklar ve donanım yetersizlikleri nedeniyle nasıl etkisiz hale gelebileceğini gösteren önemli bir uyarıdır.

Siz bilgisayarınızda Windows Hello kullanıyor musunuz? Bu tür bir güvenlik açığı, biyometrik kimlik doğrulamaya olan güveninizi nasıl etkiledi? Düşüncelerinizi yorumlarda bizimle paylaşın!

Bu Konuyla İlgili Diğer“Nedir?”Yazılarımız:

• Biyometri Nedir? Parmak İzi ve Yüz Tanımanın Arkasındaki Teknoloji
• İki Faktörlü Kimlik Doğrulama (2FA) Nedir ve Nasıl Etkinleştirilir?

Dijital dünyada güvende kalmanızı sağlayacak en son siber güvenlik tehditleri, korunma yöntemleri ve gizlilik ipuçları için techneiro.com‘u takip etmeye devam edin!