Qualcuno ha scoperto una vulnerabilità nel sistema di autenticazione Windows Hello di Microsoft, non quello che usa l’impronta digitale ma quello che si basa sulla scansione 3D del volto. La falla, della quale non si conoscono i dettagli, è stata scoperta dalla Nanyang Technological University e Microsoft l’ha contrassegnata come importante anche se fa notare che si tratta comunque di una vulnerabilità difficile da sfruttare perché richiede accesso fisico alla macchina.
In ogni caso Microsoft, con una patch rilasciata in aprile, ha cambiato in modo in cui lo sblocco con il volto di Windows Hello funziona, eliminando la possibilità di sblocco con poca luce per quasi tutti i dispositivi.
Inizialmente si pensava fosse un bug, in realtà si tratta proprio di una scelta volta a preservare la sicurezza del dispositivo. Abbiamo scritto “quasi tutti” perché Microsoft non ha disabilitato la funzione, ma ora richiede, oltre alla scansione del volto 3D con la 3D camera, anche la webcam attiva e una immagine della persona in 2D proveniente dalla webcam.
Molte webcam oggi hanno una risoluzione bassissima e un sensore grande come uno spillo, e al buio sono praticamente inutilizzabili: in questi casi l’autenticazione fallisce. Se invece la webcam è di buona qualità, come quelle dei Surface Pro o di altri laptop moderni, l’autenticazione riesce anche in condizioni di bassa luminosità.
Da segnalare tuttavia che la patch di Microsoft è stata fatta in modo un po’ posticcio: alcuni utenti hanno scoperto che se si disabilita la webcam da Windows Device Manager il sistema torna a funzionare come prima, ma ovviamente si perde l’uso della webcam che deve essere riattivata a mano ogni volta che serve. Sui sistemi dotati di interruttore hardware che stacca fisicamente la webcam, come i Lenovo, potrebbe bastare chiudere lo sportello.
