Badacze omijają uwierzytelnianie za pomocą linii papilarnych Windows Hello

Co musisz wiedzieć

• Grupie badaczy udało się ominąć uwierzytelnianie odcisków palców w Windows Hello.
• Naukowcy dokonali odkrycia podczas testów na laptopach Dell, Lenovo i Microsoft.
• Podstawą badań były czujniki linii papilarnych Goodix, Synaptics i ELAN.
• Według badaczy udało im się ominąć funkcję bezpieczeństwa, ponieważ ochrona SDCP firmy Microsoft nie była włączona.
• Chociaż Microsoft pracuje nad obejściem tego problemu, badacze zalecają użytkownikom włączenie ochrony SDCP.

---

Grupa badaczy bezpieczeństwa z Blackwing Intelligence odkryła wiele luk w zabezpieczeniach trzech najważniejszych czujników linii papilarnych, co umożliwiło im ominąć uwierzytelnianie za pomocą linii papilarnych Windows Hello na laptopach Dell, Lenovo i Microsoft.

Zespół ds. badań ofensywnych i inżynierii bezpieczeństwa firmy Microsoft zlecił badaczom przetestowanie bezpieczeństwa czujników odcisków palców. Podczas prezentacji wyników na październikowej konferencji Microsoft BlueHat zespół ujawnił tę informację w centrum badań znalazły się niektóre popularne czujniki odcisków palców, w tym Goodix, Synaptics i ROZMACH.

Jak wynika z raportu, badacze udostępnili szczegółowy opis pokazujący, w jaki sposób udało im się zbudować urządzenie USB umożliwiające przeprowadzenie ataku typu man-in-the-middle (MitM). W raporcie szczegółowo opisano, w jaki sposób ta wyrafinowana technika zapewnia złym podmiotom dostęp do skradzionego lub pozostawionego bez nadzoru urządzenia.

Podczas przeprowadzania testów sprawdzających niezawodność funkcji Windows Hello jako funkcji zabezpieczającej, Inspiron 15 firmy Dell, Lenovo ThinkPad T14, I Surface Pro X firmy Microsoft niestety padł ofiarą wyrafinowanej sztuczki, pod warunkiem, że na urządzeniu włączono uwierzytelnianie odcisków palców.

Badacze z Blackwing Intelligence odkryli luki w zabezpieczeniach niestandardowego protokołu TLS na czujniku Synaptics, przeprowadzając inżynierię wsteczną oprogramowania i sprzętu na tych urządzeniach.

Przyszłość bez hasła, ale mimo to bardzo niepokojąca

W tym roku widzieliśmy Microsoft staje się bardziej „świadomy” w dążeniu do przyszłości bez haseł, zwłaszcza w przypadku najnowszego ruchu zaprojektowanego, aby umożliwić użytkownikom systemu Windows 11 logowanie się do witryn internetowych obsługujących używanie kluczy dostępu Windows Witam. Ponadto umożliwia także użytkownikom zarządzanie kluczami na zapisanych urządzeniach z systemem Windows, w tym usuwanie kluczy za pośrednictwem aplikacji Ustawienia systemu Windows.

Coraz więcej osób wsiada do pociągu bez hasła z Windows Hello, co powoduje wysoki poziom niepewności wśród użytkowników. To ostatecznie sprawia, że ​​jeszcze trudniej jest podjąć decyzję, czy powinni całkowicie przejść na podejście bez hasła, czy pozostać przy pinach.

Nie jest jeszcze jasne, w jaki sposób Microsoft planuje rozwiązać ten problem. Nie wiemy też, czy hakerzy wykorzystują obecnie tę technikę w praktyce.

Firma Microsoft wykonała dobrą robotę, projektując protokół bezpiecznego połączenia urządzeń (SDCP), aby zapewnić bezpieczny kanał pomiędzy hosta i urządzenia biometryczne, ale niestety wydaje się, że producenci urządzeń źle rozumieją niektóre z nich cele. Co więcej, SDCP obejmuje jedynie bardzo wąski zakres działania typowego urządzenia, podczas gdy większość urządzeń charakteryzuje się dużą powierzchnią ataku, która w ogóle nie jest objęta standardem SDCP.

Badacze ujawnili, że udało im się ominąć uwierzytelnianie odcisków palców Windows Hello na niektórych urządzeniach, na których przeprowadzali testy, ponieważ ochrona SDCP nie była włączona.

Ze względów bezpieczeństwa grupa badaczy zaleca użytkownikom upewnienie się, że ochrona SDCP jest przez cały czas włączona, aby zapobiec łatwemu przeprowadzeniu takich ataków.

Czy korzystasz z Windows Hello na swoim komputerze? Podziel się z nami swoimi doświadczeniami w komentarzach.