Ο έλεγχος ταυτότητας με δακτυλικά αποτυπώματα Windows Hello της Microsoft έχει παρακαμφθεί
Ο έλεγχος ταυτότητας με δακτυλικά αποτυπώματα Windows Hello της Microsoft έχει παρακαμφθεί σε φορητούς υπολογιστές από την Dell, τη Lenovo, ακόμη και τη Microsoft. Ερευνητές ασφαλείας στο
Η Blackwing Intelligence ανακάλυψε
πολλαπλές ευπάθειες στους τρεις κορυφαίους αισθητήρες δακτυλικών αποτυπωμάτων που είναι ενσωματωμένοι σε φορητούς υπολογιστές και χρησιμοποιούνται ευρέως από επιχειρήσεις για την ασφάλεια φορητών υπολογιστών με έλεγχο ταυτότητας δακτυλικών αποτυπωμάτων Windows Hello.
Η Microsoft Offensive Research and Security Engineering (MORSE) ζήτησε από την Blackwing Intelligence να αξιολογήσει την ασφάλεια των αισθητήρων δακτυλικών αποτυπωμάτων και οι ερευνητές παρείχαν τα ευρήματά τους σε
παρουσίαση
στο συνέδριο BlueHat της Microsoft τον Οκτώβριο. Η ομάδα εντόπισε δημοφιλείς αισθητήρες δακτυλικών αποτυπωμάτων από την Goodix, τη Synaptics και το ELAN ως στόχους για την έρευνά της, με μια πρόσφατα δημοσιευμένη ανάρτηση ιστολογίου που περιγράφει λεπτομερώς τη σε βάθος διαδικασία κατασκευής μιας συσκευής USB που μπορεί να εκτελέσει έναν άνθρωπο στη μέση (MitM ) επίθεση. Μια τέτοια επίθεση θα μπορούσε να παρέχει πρόσβαση σε ένα κλεμμένο φορητό υπολογιστή ή ακόμη και μια επίθεση «κακής υπηρέτριας» σε μια συσκευή χωρίς επίβλεψη.
Ένα Dell Inspiron 15, το Lenovo
ThinkPad
T14 και το Microsoft Surface Pro X έπεσαν θύματα επιθέσεων ανάγνωσης δακτυλικών αποτυπωμάτων, επιτρέποντας στους ερευνητές να παρακάμψουν την προστασία του Windows Hello, εφόσον κάποιος χρησιμοποιούσε προηγουμένως έλεγχο ταυτότητας με δακτυλικά αποτυπώματα σε μια συσκευή. Οι ερευνητές της Blackwing Intelligence αναθεώρησαν το
λογισμικό
και το υλικό και ανακάλυψαν ελαττώματα κρυπτογραφικής εφαρμογής σε ένα προσαρμοσμένο TLS στον αισθητήρα Synaptics. Η περίπλοκη διαδικασία παράκαμψης του Windows Hello περιλάμβανε επίσης την αποκωδικοποίηση και την εκ νέου υλοποίηση ιδιόκτητων πρωτοκόλλων.
Οι αισθητήρες δακτυλικών αποτυπωμάτων χρησιμοποιούνται πλέον ευρέως από χρήστες φορητών υπολογιστών Windows, χάρη στην ώθηση της Microsoft προς το Windows Hello και ένα
μέλλον
χωρίς κωδικό πρόσβασης. Η Microsoft το αποκάλυψε πριν από τρία χρόνια
σχεδόν 85 τοις εκατό
των καταναλωτών χρησιμοποιούσαν το Windows Hello για να συνδεθούν σε
συσκευές
Windows 10 αντί να χρησιμοποιούν κωδικό πρόσβασης (η Microsoft μετράει ένα απλό PIN ως χρήση του Windows Hello, ωστόσο).
Αυτή δεν είναι η πρώτη φορά που ο έλεγχος ταυτότητας που βασίζεται σε βιομετρικά στοιχεία του Windows Hello απορρίπτεται. Η Microsoft αναγκάστηκε να διορθώσει μια ευπάθεια παράκαμψης ελέγχου ταυτότητας Windows Hello το 2021, μετά από
απόδειξη της ιδέας
που περιελάμβανε τη λήψη μιας υπέρυθρης εικόνας ενός θύματος για την παραπλάνηση της δυνατότητας αναγνώρισης προσώπου του Windows Hello.
Ωστόσο, δεν είναι σαφές εάν η Microsoft θα μπορέσει να διορθώσει μόνη της αυτές τις τελευταίες ατέλειες. «Η Microsoft έκανε καλή δουλειά σχεδιάζοντας το Πρωτόκολλο Ασφαλούς Σύνδεσης Συσκευών (SDCP) για να παρέχει ένα ασφαλές κανάλι μεταξύ του κεντρικού υπολογιστή και των βιομετρικών συσκευών, αλλά δυστυχώς οι κατασκευαστές συσκευών φαίνεται να παρεξηγούν ορισμένους από τους στόχους», γράφουν οι Jesse D’Aguanno και Timo Teräs, Blackwing Intelligence. ερευνητές, σε τους
σε βάθος αναφορά
στα ελαττώματα. “Επιπλέον, το SDCP καλύπτει μόνο ένα πολύ στενό εύρος λειτουργίας μιας τυπικής συσκευής, ενώ οι περισσότερες συσκευές έχουν εκτεθειμένη μια αρκετά μεγάλη επιφάνεια επίθεσης που δεν καλύπτεται καθόλου από το SDCP.”
Οι ερευνητές διαπίστωσαν ότι η προστασία SDCP της Microsoft δεν ήταν ενεργοποιημένη σε δύο από τις τρεις συσκευές που στόχευαν. Η Blackwing Intelligence συνιστά τώρα στους OEM να βεβαιωθούν ότι το SDCP είναι ενεργοποιημένο και να διασφαλίζουν ότι η εφαρμογή του
αισθητήρα δακτυλικών αποτυπωμάτων
ελέγχεται από εξειδικευμένο ειδικό. Η Blackwing Intelligence διερευνά επίσης επιθέσεις καταστροφής μνήμης στο υλικολογισμικό του αισθητήρα, ακόμη και στην ασφάλεια του αισθητήρα δακτυλικών αποτυπωμάτων σε συσκευές Linux, Android και Apple.
VIA:
theverge.com
