Forskere kan omgå Windows Hello-fingeravtrykkautentisering på bærbare datamaskiner fra Dell, Lenovo og Surface

Sikkerhetsforskere ved Blackwing Intelligence har oppdaget flere sårbarheter i populære fingeravtrykksensorer, slik at de kan omgå Windows Hello-fingeravtrykkautentisering på bærbare datamaskiner fra Dell, Lenovo og til og med Microsoft.

Hva er Windows Hello?
Windows Hello tilbyr biometrisk autentisering for Windows-enheter ved hjelp av fingeravtrykk, ansikter eller iris.

De forskere bygget en USB-enhet som kunne utføre et man-in-the-middle (MitM)-angrep, gi tilgang til en stjålet bærbar datamaskin eller til og med la en angriper omgå Windows Hello-beskyttelse på en uovervåket enhet.

Med enklere ord fant forskerne at sårbarhetene i fingeravtrykksensorene lar hackere fange opp og manipulere data som sendes mellom fingeravtrykksensoren og Windows Hello-programvaren. Dette betyr at hackere kan forfalske fingeravtrykket ditt og få tilgang til datamaskinen din uten at du selv vet det.

Dette er ikke første gang Windows Hello biometri-basert autentisering har blitt beseiret. i 2021, Microsoft måtte fikse et Windows Hello-autentiseringsomgåingssårbarhet som innebar å ta et infrarødt bilde av et offer for å forfalske Windows Hellos ansiktsgjenkjenningsfunksjon.

Forskerne anbefaler at OEM-er sørger for at Secure Device Connection Protocol (SDCP) er aktivert på fingeravtrykksensorer og at en kvalifisert ekspert reviderer implementeringen av fingeravtrykksensoren.

Det betyr at selskaper som lager disse enhetene, også kjent som originale utstyrsprodusenter (OEM), bør sørge for at en spesiell sikkerhetsfunksjon kalt Secure Device Connection Protocol (SDCP) er slått på for fingeravtrykksensorer. De bør også sørge for at en ekspert sjekker fingeravtrykksensoren for å sikre at den er trygg.

Det brukere bør gjøre er at de bør oppdatere Windows Hello-programvaren og unngå å bruke fingeravtrykk på offentlige datamaskiner for å beskytte mot dette sikkerhetsproblemet.