Следите за нашими обновлениями в
Аутентифікацію за відбитками пальців Microsoft Windows Hello було обійдено на ноутбуках Dell, Lenovo і навіть Microsoft. Дослідники безпеки з Blackwing Intelligence виявили численні вразливості в трьох найпопулярніших датчиках відбитків пальців, які вбудовані в ноутбуки та широко використовуються компаніями для захисту ноутбуків за допомогою автентифікації відбитків пальців Windows Hello.
Відділ Microsoft Offensive Research and Security Engineering (MORSE) попросив Blackwing Intelligence оцінити безпеку датчиків відбитків пальців, і дослідники представили свої висновки в презентації на конференції Microsoft BlueHat у жовтні. Команда визначила популярні датчики відбитків пальців від Goodix, Synaptics і ELAN як мішені для своїх досліджень, опублікувавши нещодавно опубліковану публікацію в блозі, в якій докладно описано процес створення USB-пристрою, який може виконувати функцію «людина посередині» (MitM). ) напад. Така атака може забезпечити доступ до вкраденого ноутбука або навіть атаку «злих служниць» на пристрій без нагляду.
Dell Inspiron 15, Lenovo ThinkPad T14 і Microsoft Surface Pro X стали жертвами атак зчитувача відбитків пальців, що дозволило дослідникам обійти захист Windows Hello, якщо хтось раніше використовував автентифікацію за відбитками пальців на пристрої. Дослідники Blackwing Intelligence провели реверсивну інженерію як програмного, так і апаратного забезпечення та виявили недоліки криптографічної реалізації в спеціальному TLS на датчику Synaptics. Складний процес обходу Windows Hello також включав декодування та повторне впровадження власних протоколів.
Датчики відбитків пальців зараз широко використовуються користувачами ноутбуків Windows завдяки просуванню Microsoft у Windows Hello та майбутньому без паролів. Три роки тому корпорація Майкрософт показала, що майже 85 відсотків споживачів використовували Windows Hello для входу на пристрої Windows 10 замість використання пароля (проте Microsoft вважає простий PIN-код використанням Windows Hello).
Це не перший випадок, коли автентифікація на основі біометрії Windows Hello зазнає поразки. У 2021 році Microsoft була змушена виправити вразливість обходу автентифікації Windows Hello після перевірки концепції , яка включала захоплення інфрачервоного зображення жертви для підробки функції розпізнавання обличчя Windows Hello.