Forskere i stand til at omgå Windows Hello-fingeraftryksgodkendelse på bærbare Dell-, Lenovo- og Surface-computere

Sikkerhedsforskere hos Blackwing Intelligence har opdaget flere sårbarheder i populære fingeraftrykssensorer, hvilket giver dem mulighed for at omgå Windows Hello fingeraftryksgodkendelse på Dell, Lenovo og endda Microsoft bærbare computere.

Hvad er Windows Hej?
Windows Hello tilbyder biometrisk godkendelse til Windows-enheder ved hjælp af fingeraftryk, ansigter eller iris.

forskere bygget en USB-enhed, der kunne udføre et man-in-the-middle (MitM)-angreb, give adgang til en stjålet bærbar eller endda tillade en angriber at omgå Windows Hello-beskyttelse på en uovervåget enhed.

Med lettere ord fandt forskerne ud af, at sårbarhederne i fingeraftrykssensorerne gør det muligt for hackere at opsnappe og manipulere data, der sendes mellem fingeraftrykssensoren og Windows Hello-softwaren. Det betyder, at hackere kan forfalske dit fingeraftryk og få adgang til din computer, uden at du selv ved det.

Dette er ikke første gang Windows Hello biometri-baseret godkendelse er blevet besejret. I 2021, Microsoft var nødt til at rette en Windows Hello-autentificeringsomgåelsessårbarhed, der involverede optagelse af et infrarødt billede af et offer for at forfalske Windows Hellos ansigtsgenkendelsesfunktion.

Forskerne anbefaler, at OEM'er sikrer, at Secure Device Connection Protocol (SDCP) er aktiveret på fingeraftrykssensorer, og at en kvalificeret ekspert auditerer implementeringen af ​​fingeraftrykssensoren.

Det betyder, at virksomheder, der fremstiller disse enheder, også kendt som originale udstyrsproducenter (OEM'er), bør sikre, at en særlig sikkerhedsfunktion kaldet Secure Device Connection Protocol (SDCP) er slået til for fingeraftrykssensorer. De bør også sikre, at en ekspert kontrollerer fingeraftrykssensoren for at sikre, at den er sikker.

Hvad brugere bør gøre, er, at de skal opdatere deres Windows Hello-software og undgå at bruge fingeraftryk på offentlige computere for at beskytte mod denne sårbarhed.