Rozpoznávání obličejů ve Windows 10 ošáleno prostou fotografií

Rozpoznávání obličejů ve Windows 10 ošáleno prostou fotografií. Viz Microsoft Windows Hello Face Authentication – Authentication Bypass by Spoofing (CWE-290) a je nutné opět připomenout, že stejně jako u Face ID se na tuhle funkčnost musíte dívat pouze jako na něco co ulehčuje život. Nikoliv jako na bezpečnostní pojistku. Windows Hello mimochodem používá také infrakameru jako Apple Face ID. Poslední co je nutné dodat, že ve Windows 10 verzi 1709 vylepšil Microsoft algoritmy a je možné zapnout „Enhanced Anti-Spoofing“, které (prozatím) ošálit nejde.

Senzory na otisky prstů lze zmást „univerzálním otiskem“.

Senzory na otisky prstů lze zmást „univerzálním otiskem“. Alespoň to zjistili výzkumníci z New York University a Michigan State University. Jejich zkoumání tvrdí, že lze sestavit umělé „univerzální otisky“, které odemknou prakticky cokoliv v 65 procentech případů. Viz That Fingerprint Sensor on Your Phone Is Not as Safe as You Think a nutno dodat, že nejde o prakticky ověřenou záležitost.

2017-05-24 08_31_21-That Fingerprint Sensor on Your Phone Is Not as Safe as You Think - The New York.png

 

Špatné implementace OAuth 2.0 rizikem pro miliony uživatelů

Špatné implementace OAuth 2.0 rizikem pro miliony uživatelů mobilních aplikací. Právě tam jsou totiž k nalezení mizerné implementované OAuth 2.0 řešení využívaná k přihlašování s pomocí Facebook, Google či Sina Weibo. Útočník přitom nepotřebuje přístup do telefonu oběti, stačí využít Man-in-the-middle. Viz OAUTH 2.0 HACK EXPOSES 1 BILLION MOBILE APPS TO ACCOUNT HIJACKING a Signing into One Billion Mobile App Accounts Effortlessly with OAuth2.0 (PDF)

2016-11-17 13_11_06-eu-16-Yang-Signing-Into-Billion-Mobile-Apps-Effortlessly-With-OAuth20-wp.pdf.png