Zatvoriti
Izbornik

Istraživači zaobilaze Windows Hello autentifikaciju otiskom prsta

Što trebaš znati

  • Grupa istraživača uspjela je zaobići Windows Hello provjeru autentičnosti otiskom prsta.
  • Istraživači su došli do ovog otkrića tijekom testiranja prijenosnih računala Dell, Lenovo i Microsoft.
  • Kao osnova za istraživanje korišteni su Goodix, Synaptics i ELAN senzori otiska prsta.
  • Prema istraživačima, uspjeli su zaobići sigurnosnu značajku jer Microsoftova SDCP zaštita nije bila uključena.
  • Iako Microsoft radi na tome da to zaobiđe, istraživači preporučuju da korisnici omoguće SDCP zaštitu.

Grupa sigurnosnih istraživača iz Blackwing Intelligencea otkrila je višestruke ranjivosti koje utječu na tri glavna senzora otiska prsta, što im je omogućilo zaobići Windows Hello provjeru autentičnosti otiskom prsta na prijenosnim računalima Dell, Lenovo i Microsoft.

Istraživači su dobili zadatak od strane Microsoftovog ofenzivnog istraživačkog i sigurnosnog inženjerskog tima da ispitaju sigurnost senzora otiska prsta. Tijekom predstavljanja rezultata na Microsoftovoj BlueHat konferenciji u listopadu, tim je to otkrio neki od popularnih senzora otiska prsta bili su u središtu njihovog istraživanja, uključujući Goodix, Synaptics i, ELAN.

Prema izvješću, istraživači su podijelili detaljan opis naglašavajući kako su uspjeli izgraditi USB uređaj sa sposobnošću implementacije Man-in-the-middle (MitM) napada. Izvješće dalje opisuje kako sofisticirana tehnika lošim akterima omogućuje pristup ukradenom ili nenadziranom uređaju.

Tijekom izvođenja testova za određivanje pouzdanosti Windows Hello kao sigurnosne značajke, Dellov Inspiron 15, Lenovo ThinkPad T14, i Microsoftov Surface Pro X nažalost pao je žrtva sofisticirane smicalice, pod uvjetom da je na uređaju omogućena provjera autentičnosti otiskom prsta.

Istraživači tvrtke Blackwing Intelligence otkrili su sigurnosne propuste u prilagođenom TLS-u na senzoru Synaptics tijekom obrnutog inženjeringa softvera i hardvera na tim uređajima.

Budućnost bez lozinke, ali svejedno vrlo alarmantna

Ove godine, vidjeli smo Microsoft je postao "namjerniji" u svojoj težnji prema budućnosti bez lozinki, posebno s najnovijim potezom koji je osmišljen kako bi korisnicima Windowsa 11 omogućio prijavu na web stranice koje podržavaju korištenje zaporki Windows Pozdrav. Osim toga, također omogućuje korisnicima da upravljaju svojim pristupnim ključevima na spremljenim Windows uređajima, uključujući brisanje pristupnih ključeva putem aplikacije Windows Settings.

Uz sve više ljudi koji sada uskaču u vlak bez lozinke sa sustavom Windows Hello, to stvara visoku razinu neizvjesnosti među korisnicima. Zbog toga je u konačnici još teže odlučiti trebaju li u potpunosti prijeći na pristup bez lozinke ili se držati pribadača.

Još nije jasno kako Microsoft planira riješiti ovaj problem, također ne znamo koriste li hakeri ovu tehniku ​​u divljini.

Microsoft je napravio dobar posao dizajnirajući Secure Device Connection Protocol (SDCP) kako bi osigurao siguran kanal između host i biometrijski uređaji, ali nažalost, čini se da proizvođači uređaja pogrešno razumiju neke od ciljevi. Osim toga, SDCP pokriva samo vrlo uzak opseg rada tipičnog uređaja, dok većina uređaja ima izloženu znatnu površinu napada koju SDCP uopće ne pokriva.

Istraživači Blackwing Intelligence

Istraživači su otkrili da su uspjeli zaobići Windows Hello provjeru autentičnosti otiskom prsta na nekim uređajima na kojima su izvodili testove jer SDCP zaštita nije bila omogućena.

Kao sigurnosnu mjeru, skupina istraživača preporuča korisnicima da osiguraju da je SDCP zaštita omogućena u svakom trenutku kako bi se spriječila laka implementacija takvih napada.

Koristite li Windows Hello na računalu? Podijelite svoje iskustvo s nama u komentarima.