Tyrėjai apeina „Windows Hello“ pirštų atspaudų autentifikavimą

Ką tu turi žinoti

• Tyrėjų grupei pavyko apeiti „Windows Hello“ pirštų atspaudų autentifikavimą.
• Tyrėjai atrado atlikdami bandymus su Dell, Lenovo ir Microsoft nešiojamaisiais kompiuteriais.
• Tyrimo pagrindu buvo naudojami Goodix, Synaptics ir ELAN pirštų atspaudų jutikliai.
• Tyrėjų teigimu, jie sugebėjo apeiti saugos funkciją, nes nebuvo įjungta „Microsoft“ SDCP apsauga.
• Nors „Microsoft“ stengiasi tai apeiti, mokslininkai rekomenduoja vartotojams įjungti SDCP apsaugą.

---

Grupė saugumo tyrinėtojų iš Blackwing Intelligence atskleidė daugybę pažeidžiamumų, turinčių įtakos trims geriausiems pirštų atspaudų jutikliams, kurie leido jiems apeiti „Windows Hello“ pirštų atspaudų autentifikavimą „Dell“, „Lenovo“ ir „Microsoft“ nešiojamuosiuose kompiuteriuose.

„Microsoft“ įžeidžiančių tyrimų ir saugumo inžinerijos komanda tyrėjams pavedė patikrinti pirštų atspaudų jutiklių saugumą. Spalio mėnesį „Microsoft BlueHat“ konferencijoje pristatydama rezultatus, komanda tai atskleidė kai kurie populiarūs pirštų atspaudų jutikliai buvo jų tyrimų centre, įskaitant Goodix, Synaptics ir, ELAN.

Ataskaitoje mokslininkai pasidalijo išsamiu aprašymu, kuriame pabrėžiama, kaip jiems pavyko sukurti USB įrenginį, galintį panaudoti „man-in-the-middle“ (MitM) ataką. Ataskaitoje išsamiau paaiškinta, kaip ši sudėtinga technika suteikia blogiems veikėjams prieigą prie pavogto ar neprižiūrimo įrenginio.

Vykdydami bandymus, kad nustatytų „Windows Hello“ kaip saugos funkcijos patikimumą, Dell's Inspiron 15, „Lenovo“ ThinkPad T14, ir Microsoft Surface Pro X deja, tapo sudėtingo triuko auka, jei įrenginyje buvo įjungtas pirštų atspaudų autentifikavimas.

„Blackwing Intelligence“ tyrėjai aptiko „Synaptics“ jutiklio tinkinto TLS saugos spragas, tuo pačiu kurdami šių įrenginių programinę ir aparatinę įrangą.

Ateitis be slaptažodžio, bet vis dėlto kelia didelį nerimą

Šiais metais matėme „Microsoft“ tampa „tyčingesnė“ siekdama ateities be slaptažodžių, ypač su naujausiu žingsniu, skirtu leisti „Windows 11“ naudotojams prisijungti prie svetainių, kurios palaiko slaptažodžių naudojimą „Windows Hello“.. Be to, tai taip pat leidžia vartotojams valdyti savo slaptažodžius išsaugotuose „Windows“ įrenginiuose, įskaitant slaptažodžių ištrynimą naudojant „Windows“ nustatymų programą.

Kadangi dabar daugiau žmonių įstoja į beslaptažodžio traukinį su „Windows Hello“, tai sukuria didelį vartotojų netikrumą. Dėl to galiausiai tampa dar sunkiau nuspręsti, ar jie turėtų visiškai pereiti prie beslaptažodžio metodo, ar laikytis kaiščių.

Dar neaišku, kaip „Microsoft“ planuoja spręsti šią problemą, taip pat nežinome, ar įsilaužėliai šiuo metu naudoja šią techniką gamtoje.

„Microsoft“ atliko gerą darbą kurdama saugaus įrenginio ryšio protokolą (SDCP), kad užtikrintų saugų kanalą tarp pagrindinio kompiuterio ir biometrinių prietaisų, bet, deja, prietaisų gamintojai kai kuriuos neteisingai supranta tikslai. Be to, SDCP apima tik labai siaurą tipinio įrenginio veikimo sritį, o dauguma įrenginių turi didelį atakos paviršių, kurio SDCP visai neapima.

Tyrėjai atskleidė, kad kai kuriuose įrenginiuose, kuriuose buvo atliekami bandymai, jiems pavyko apeiti „Windows Hello“ pirštų atspaudų autentifikavimą, nes nebuvo įjungta SDCP apsauga.

Saugumo sumetimais tyrėjų grupė rekomenduoja vartotojams užtikrinti, kad SDCP apsauga visada būtų įjungta, kad būtų išvengta lengvo tokių atakų diegimo.

Ar kompiuteryje naudojate „Windows Hello“? Pasidalykite savo patirtimi su mumis komentaruose.