Група за сигурност, наета от Microsoft за тестване на хардуера и софтуера за удостоверяване с пръстови отпечатъци Windows Hello, публикува информация, че е успяла да заобиколи тази технология на редица лаптопи, включително собствения продукт на компанията - Microsoft Surface.
Групата Blackwing Intelligence разкри своите открития през октомври в рамките на конференцията за сигурност BlueHat на Microsoft, но едва тази седмица публикува резултатите на собствения си сайт. В публикацията в блога със закачливото заглавие A Touch of Pwn се посочва, че групата е използвала сензорите за пръстови отпечатъци в лаптопите Dell Inspiron 15 и Lenovo ThinkPad T14, както и аксесоара Microsoft Surface Pro Type Cover with Fingerprint ID, предназначен за таблетите Surface Pro 8 и X. Конкретните сензори за пръстови отпечатъци са произведени от Goodix, Synaptics и ELAN.
Всички тествани сензори за пръстови отпечатъци, поддържащи Windows Hello, използват хардуер match on chip, което означава, че удостоверяването се извършва в самия сензор, който има собствен микропроцесор и памет.
Blackwing използва обратен инженеринг, за да открие недостатъци в сензорите за пръстови отпечатъци, след което създава собствено USB устройство, което може да извърши атака тип "човек по средата" (MitM). Това устройство им позволява да заобиколят хардуера за удостоверяване на пръстови отпечатъци в тези устройства.
В блога се посочва също, че макар Microsoft да използва Secure Device Connection Protocol (SDCP) "за осигуряване на сигурен канал между хоста и биометричните устройства", два от трите тествани сензора за пръстови отпечатъци дори не са имали активиран SDCP. Групата препоръча на всички компании, произвеждащи сензори за пръстови отпечатъци, не само да активират SDCP на своите продукти, но и да накарат трета компания да се увери, че той работи.
Трябва да се отбележи, че заобикалянето на тези хардуерни продукти за пръстови отпечатъци е отнело "приблизително три месеца" работа на Blackwing, с много усилия, но важното е, че са успели. Остава да видим дали Microsoft или компаниите, произвеждащи сензори за пръстови отпечатъци, могат да използват това изследване, за да отстранят тези проблеми.
Снимка: Unsplash
Виж още: Топенето на лед в Гренландия и Антарктида съставлява 25% от покачването на морското равнище