Výzkumníci dokázali obejít ověřování pomocí otisku prstu Windows Hello na noteboocích Dell, Lenovo a Surface

Bezpečnostní výzkumníci z Blackwing Intelligence objevili několik zranitelností v populárních snímačích otisků prstů, což jim umožňuje obejít ověřování pomocí otisků prstů Windows Hello na noteboocích Dell, Lenovo a dokonce i Microsoft.

Co je Windows Hello?
Windows Hello nabízí biometrické ověřování pro zařízení s Windows pomocí otisků prstů, tváří nebo duhovky.

Projekt Výzkumníci vytvořil USB zařízení, které by mohlo provést útok typu man-in-the-middle (MitM), poskytující přístup k odcizenému notebooku nebo dokonce umožňující útočníkovi obejít ochranu Windows Hello na bezobslužném zařízení.

Jednoduše řečeno, výzkumníci zjistili, že zranitelnost snímačů otisků prstů umožňuje hackerům zachytit a manipulovat s daty, která jsou odesílána mezi snímačem otisků prstů a softwarem Windows Hello. To znamená, že hackeři by mohli podvrhnout váš otisk prstu a získat přístup k vašemu počítači, aniž byste o tom věděli.

Není to poprvé, co bylo poraženo ověřování založené na biometrii Windows Hello. v 2021Microsoft musel opravit chybu zabezpečení pro obcházení ověřování Windows Hello, která zahrnovala zachycení infračerveného obrazu oběti za účelem zfalšování funkce rozpoznávání obličeje Windows Hello.

Výzkumníci doporučují, aby výrobci OEM zajistili, že je na snímačích otisků prstů povolen protokol SDCP (Secure Device Connection Protocol) a aby implementaci snímače otisků prstů prověřil kvalifikovaný odborník.

Znamená to, že společnosti vyrábějící tato zařízení, neboli výrobci originálního vybavení (OEM), by měly zajistit, aby byla pro snímače otisků prstů zapnuta speciální bezpečnostní funkce s názvem Secure Device Connection Protocol (SDCP). Měli by také zajistit, aby odborník zkontroloval snímač otisků prstů, aby se ujistil, že je bezpečný.

Uživatelé by měli udělat aktualizaci svého softwaru Windows Hello a vyhnout se používání otisků prstů na veřejných počítačích, aby se ochránili před touto chybou zabezpečení.