חוקרים מסוגלים לעקוף את אימות טביעות האצבע של Windows Hello במחשבים ניידים של Dell, Lenovo ו-Surface

חוקרי אבטחה ב-Blackwing Intelligence גילו נקודות תורפה מרובות בחיישני טביעות אצבע פופולריים, מה שמאפשר להם לעקוף את אימות טביעות האצבע של Windows Hello במחשבים ניידים של Dell, לנובו ואפילו של מיקרוסופט.

מהי Windows Hello?
Windows Hello מציע אימות ביומטרי עבור מכשירי Windows באמצעות טביעות אצבע, פנים או קשתיות.

השמיים חוקרים בנה התקן USB שיכול לבצע התקפת אדם באמצע (MitM), לספק גישה למחשב נייד גנוב או אפילו לאפשר לתוקף לעקוף את הגנת Windows Hello במכשיר ללא השגחה.

במילים קלות יותר, החוקרים גילו שהפגיעויות בחיישני טביעות האצבע מאפשרות להאקרים ליירט ולתפעל נתונים שנשלחים בין חיישן טביעות האצבע לתוכנת Windows Hello. המשמעות היא שהאקרים עלולים לזייף את טביעת האצבע שלך ולקבל גישה למחשב שלך מבלי שאתה אפילו יודע זאת.

זו לא הפעם הראשונה שאימות מבוסס ביומטריה של Windows Hello מובס. ב 2021, נאלצה מיקרוסופט לתקן פגיעות עקיפת אימות של Windows Hello שכללה לכידת תמונת אינפרא אדום של קורבן כדי לזייף את תכונת זיהוי הפנים של Windows Hello.

החוקרים ממליצים ליצרני ציוד מקורי לוודא שפרוטוקול Secure Device Connection (SDCP) מופעל בחיישני טביעות אצבע ושמומחה מוסמך יבדוק את יישום חיישני טביעות האצבע.

המשמעות היא שחברות שמייצרות את המכשירים הללו, הלא הם יצרני ציוד מקורי (OEM), צריכות לוודא שתכונת אבטחה מיוחדת הנקראת Secure Device Connection Protocol (SDCP) מופעלת עבור חיישני טביעות אצבע. הם צריכים גם לוודא שמומחה בודק את חיישן טביעת האצבע כדי לוודא שהוא בטוח.

מה שמשתמשים צריכים לעשות הוא שהם צריכים לעדכן את תוכנת Windows Hello שלהם ולהימנע משימוש בטביעות אצבע במחשבים ציבוריים כדי להגן מפני פגיעות זו.