Οι ερευνητές έχουν παρακάμψει με επιτυχία τον έλεγχο ταυτότητας δακτυλικών αποτυπωμάτων Windows Hello της Microsoft

Μια ομάδα ασφαλείας που προσλήφθηκε από τη Microsoft για να δοκιμάσει το υλικό και το λογισμικό ελέγχου ταυτότητας δακτυλικών αποτυπωμάτων Windows Hello, δημοσίευσε τη δήλωση ότι μπόρεσε να παρακάμψει αυτήν την

τεχνολογία

σε πολλούς φορητούς

υπολογιστές

, συμπεριλαμβανομένου ενός προϊόντος Microsoft Surface.

Η ομάδα Blackwell Intelligence αποκάλυψε τα ευρήματά της τον Οκτώβριο ως μέρος της διάσκεψης ασφαλείας BlueHat της Microsoft, αλλά δημοσίευσε τα αποτελέσματά της στον δικό της ιστότοπο μόνο αυτή την εβδομάδα (μέσω

Το χείλος

). Η ανάρτηση ιστολογίου, που έχει τον πιασάρικο τίτλο “

Ένα άγγιγμα του Pwn

», δήλωσε ότι η ομάδα χρησιμοποίησε τους αισθητήρες δακτυλικών αποτυπωμάτων μέσα στους φορητούς υπολογιστές Dell Inspiron 15 και

Lenovo

ThinkPad T14, μαζί με το Microsoft Surface Pro Type Cover με αναγνωριστικό δακτυλικού αποτυπώματος που δημιουργήθηκε για τα tablet Surface Pro 8 και X. Οι συγκεκριμένοι αισθητήρες δακτυλικών αποτυπωμάτων κατασκευάστηκαν από την Goodix , Synaptics και ELAN.

Όλοι οι υποστηριζόμενοι από το Windows Hello αισθητήρες δακτυλικών αποτυπωμάτων που δοκιμάστηκαν χρησιμοποιούσαν υλικό “match on chip”, που σημαίνει ότι ο έλεγχος ταυτότητας γίνεται στον ίδιο τον αισθητήρα, ο οποίος διαθέτει δικό του μικροεπεξεργαστή και χώρο αποθήκευσης. Ο Blackwell δήλωσε:

Μια βάση δεδομένων με “πρότυπα δακτυλικών αποτυπωμάτων” (τα βιομετρικά δεδομένα που λαμβάνονται από τον αισθητήρα δακτυλικών αποτυπωμάτων) αποθηκεύεται στο

τσιπ

και η εγγραφή και η αντιστοίχιση εκτελούνται απευθείας μέσα στο τσιπ. Δεδομένου ότι τα πρότυπα δακτυλικών αποτυπωμάτων δεν φεύγουν ποτέ από το τσιπ, αυτό εξαλείφει τις ανησυχίες σχετικά με το απόρρητο του βιομετρικού υλικού που αποθηκεύεται και δυνητικά εξάγεται από τον κεντρικό υπολογιστή — ακόμα κι αν ο κεντρικός υπολογιστής έχει παραβιαστεί. Αυτή η προσέγγιση αποτρέπει επίσης επιθέσεις που περιλαμβάνουν απλή αποστολή εικόνων έγκυρων δακτυλικών αποτυπωμάτων στον κεντρικό υπολογιστή για αντιστοίχιση.

Η Blackwell χρησιμοποίησε αντίστροφη μηχανική για να βρει ελαττώματα στους αισθητήρες δακτυλικών αποτυπωμάτων και στη συνέχεια δημιούργησε τη δική της συσκευή USB που θα μπορούσε να εκτελέσει μια επίθεση man-in-the-middle (MitM). Αυτή η συσκευή τους επέτρεψε να παρακάμψουν το υλικό ελέγχου ταυτότητας δακτυλικών αποτυπωμάτων σε αυτές τις συσκευές.

Το ιστολόγιο επεσήμανε επίσης ότι ενώ η Microsoft χρησιμοποιεί το Πρωτόκολλο Ασφαλούς Σύνδεσης Συσκευών (SDCP) “για να παρέχει ένα ασφαλές κανάλι μεταξύ του κεντρικού υπολογιστή και των βιομετρικών συσκευών”, δύο από τους τρεις αισθητήρες δακτυλικών αποτυπωμάτων που δοκιμάστηκαν δεν είχαν καν ενεργοποιημένο το SDCP. Η Blackwell συνέστησε σε όλες τις εταιρείες αισθητήρων δακτυλικών αποτυπωμάτων όχι μόνο να ενεργοποιήσουν το SDCP στα

προϊόντα

τους αλλά και να λάβουν μια τρίτη εταιρεία για να βεβαιωθεί ότι λειτουργεί.

Πρέπει να σημειωθεί ότι η παράκαμψη αυτών των προϊόντων υλικού δακτυλικών αποτυπωμάτων χρειάστηκε “περίπου τρεις μήνες” δουλειάς από την Blackwell, με πολλή προσπάθεια, αλλά το θέμα είναι ότι ήταν επιτυχείς. Μένει να δούμε αν η Microsoft ή οι εταιρείες αισθητήρων δακτυλικών αποτυπωμάτων μπορούν να χρησιμοποιήσουν αυτήν την έρευνα για να διορθώσουν αυτά τα ζητήματα.