Zapri
Meni

Raziskovalci zaobidejo preverjanje pristnosti prstnih odtisov Windows Hello

click fraud protection

Kaj morate vedeti

  • Skupini raziskovalcev je uspelo zaobiti avtentikacijo s prstnimi odtisi programa Windows Hello.
  • Raziskovalci so odkrili med izvajanjem testov na prenosnikih Dell, Lenovo in Microsoft.
  • Za osnovo raziskave so bili uporabljeni senzorji prstnih odtisov Goodix, Synaptics in ELAN.
  • Po mnenju raziskovalcev jim je uspelo zaobiti varnostno funkcijo, ker Microsoftova zaščita SDCP ni bila omogočena.
  • Medtem ko se Microsoft trudi, da bi se temu izognil, raziskovalci priporočajo, da uporabniki omogočijo zaščito SDCP.

Skupina varnostnih raziskovalcev iz podjetja Blackwing Intelligence je odkrila številne ranljivosti, ki vplivajo na tri glavne senzorje prstnih odtisov, kar jim je omogočilo, da obidite preverjanje pristnosti prstnih odtisov Windows Hello na prenosnih računalnikih Dell, Lenovo in Microsoft.

Raziskovalce je Microsoftova skupina za ofenzivne raziskave in varnostni inženiring zadolžila za testiranje varnosti senzorjev prstnih odtisov. Med predstavitvijo rezultatov na Microsoftovi konferenci BlueHat oktobra je ekipa to razkrila nekateri priljubljeni senzorji prstnih odtisov so bili v središču njihovih raziskav, vključno z Goodixom, Synapticsom in ELAN.

Po poročilu so raziskovalci delili podroben opis, v katerem so poudarili, kako jim je uspelo zgraditi napravo USB z zmožnostjo uvedbe napada človek v sredini (MitM). Poročilo je podrobneje opisalo, kako sofisticirana tehnika slabim akterjem omogoča dostop do ukradene ali nenadzorovane naprave.

Med izvajanjem preizkusov za ugotavljanje zanesljivosti Windows Hello kot varnostne funkcije, Dellov Inspiron 15, Lenovo ThinkPad T14, in Microsoftov Surface Pro X na žalost postal žrtev prefinjene zvijače, pod pogojem, da je bila na napravi omogočena avtentikacija s prstnimi odtisi.

Raziskovalci pri Blackwing Intelligence so med povratnim inženiringom programske in strojne opreme na teh napravah odkrili varnostne ranljivosti v TLS po meri na senzorju Synaptics.

Prihodnost brez gesla, a kljub temu zelo zaskrbljujoča

Letos smo videli Microsoft je postal bolj "nameren" v svoji poti proti prihodnosti brez gesel, zlasti z najnovejšo potezo, ki je namenjena uporabnikom sistema Windows 11, da se prijavijo na spletna mesta, ki podpirajo uporabo gesel Windows Pozdravljeni. Poleg tega uporabnikom omogoča tudi upravljanje svojih gesel na shranjenih napravah Windows, vključno z brisanjem gesel prek aplikacije Windows Settings.

Ker zdaj vse več ljudi skoči na vlak brez gesla s sistemom Windows Hello, ustvarja visoko stopnjo negotovosti med uporabniki. Zaradi tega se je na koncu še težje odločiti, ali naj v celoti preidejo na pristop brez gesla ali naj ostanejo pri žebljičkih.

Ni še jasno, kako namerava Microsoft rešiti to težavo, prav tako ne vemo, ali hekerji trenutno uporabljajo to tehniko v naravi.

Microsoft je opravil dobro delo pri oblikovanju protokola za varno povezavo naprav (SDCP), ki zagotavlja varen kanal med gostitelja in biometričnih naprav, vendar se zdi, da proizvajalci naprav nekatere narobe razumejo cilji. Poleg tega SDCP pokriva le zelo ozek obseg tipičnega delovanja naprave, medtem ko ima večina naprav izpostavljeno precejšnjo napadalno površino, ki je SDCP sploh ne pokriva.

Raziskovalci inteligence Blackwing

Raziskovalci so razkrili, da jim je uspelo zaobiti avtentikacijo prstnih odtisov Windows Hello na nekaterih napravah, na katerih so izvajali teste, ker zaščita SDCP ni bila omogočena.

Kot varnostni ukrep skupina raziskovalcev priporoča, da uporabniki zagotovijo, da je zaščita SDCP ves čas omogočena, da se prepreči enostavno uvajanje takih napadov.

Ali v računalniku uporabljate Windows Hello? Delite svojo izkušnjo z nami v komentarjih.