快科技 7 月 16 日消息，德国安全研究公司 ERNW 近日披露了一项安全漏洞，该漏洞存在于微软的 Windows Hello for Business 中，允许攻击者通过面部识别登录其他用户的账户。

根据 ERNW 的研究报告，这一漏洞被称为 " 面部交换攻击 "（The Face Swap），该攻击利用了 Windows Hello 处理生物识别数据的方式。

Windows Hello 并不直接使用用户的生物识别数据进行身份验证，而是用其解锁系统中存储的加密密钥。

ERNW 的研究人员发现，具有管理员权限的攻击者可以访问并操纵将用户身份与存储的生物识别模板相关联的数据库。

在实际的攻击测试中，研究人员成功地交换了两名注册用户之间的标识符。

这种交换完全欺骗了系统，攻击者可以在计算机摄像头前使用自己的面部，让 Windows Hello 授予他们访问受害者账户的权限，包括所有企业网络资源、文件和数据。

简单来说，在任何支持 Windows Hello 的 Windows 计算机上，如果有多用户配置文件，这一安全漏洞允许拥有管理员账户的任何人窃取系统中其他用户的身份。

ERNW 表示，他们已经将这一发现告知了微软，但怀疑微软不太可能进行根本性的修复，因为这需要对系统的架构进行彻底的重新设计。