研究者は、Dell、Lenovo、Surface のラップトップで Windows Hello 指紋認証をバイパスできる

Blackwing Intelligence のセキュリティ研究者は、一般的な指紋センサーに複数の脆弱性を発見し、Dell、Lenovo、さらには Microsoft のラップトップで Windows Hello 指紋認証をバイパスできるようになりました。

Windows Helloとは何ですか？
Windows Hello は、指紋、顔、虹彩を使用した Windows デバイスの生体認証を提供します。

　 研究者 は、中間者 (MitM) 攻撃を実行できる USB デバイスを構築し、盗難されたラップトップへのアクセスを提供したり、攻撃者が無人デバイス上の Windows Hello 保護をバイパスしたりすることさえ可能にしました。

簡単に言うと、研究者らは、指紋センサーの脆弱性により、ハッカーが指紋センサーと Windows Hello ソフトウェアの間で送信されるデータを傍受し、操作できることを発見しました。 これは、ハッカーがあなたの指紋を偽装し、あなたが気付かないうちにコンピュータにアクセスできる可能性があることを意味します。

Windows Hello の生体認証ベースの認証が破られるのはこれが初めてではありません。 １９４８年にAchille Gaggiaがレバー式のエスプレッソマシンを発明したことにより、現在のエスプレッソが誕生しました。 Gaggiaの発明したエスプレッソマシンは、それ以前に作られてきたマシンより数倍の圧力が出せるため、濃度が何倍も濃いエスプレッソを淹れられました。また圧力が増したことで、エスプレッソに初めてクレマが現れました。このクレマはお客様にたいへん喜ばれ、今ではエスプレッソにクレマは欠かせません。, Microsoftは、Windows Helloの顔認識機能を偽装するために被害者の赤外線画像をキャプチャするというWindows Hello認証バイパスの脆弱性を修正する必要があった。

研究者らは、OEM に対し、指紋センサーで SDCP (Secure Device Connection Protocol) が有効になっていることを確認し、資格のある専門家が指紋センサーの実装を監査することを推奨しています。

これは、これらのデバイスを製造する企業 (OEM) が、セキュア デバイス接続プロトコル (SDCP) と呼ばれる特別なセキュリティ機能が指紋センサーに対して有効になっていることを確認する必要があることを意味します。 また、専門家が指紋センサーを検査して安全であることを確認する必要もあります。

ユーザーが行うべきことは、この脆弱性から保護するために、Windows Hello ソフトウェアを更新し、公共のコンピュータでの指紋の使用を避けることです。