Raziskovalci lahko zaobidejo preverjanje pristnosti prstnih odtisov Windows Hello na prenosnikih Dell, Lenovo in Surface
2 min. prebrati
Posodobljeno dne
Dajte v skupno rabo ta članek
Izboljšajte ta vodnik
Preberite našo stran za razkritje, če želite izvedeti, kako lahko pomagate MSPoweruser vzdrževati uredniško skupino Preberi več
Raziskovalci varnosti pri Blackwing Intelligence so odkrili številne ranljivosti v priljubljenih senzorjih prstnih odtisov, ki jim omogočajo, da zaobidejo preverjanje pristnosti prstnih odtisov Windows Hello na prenosnikih Dell, Lenovo in celo Microsoft.
Kaj je Windows Hello?
Windows Hello ponuja biometrično preverjanje pristnosti za naprave Windows z uporabo prstnih odtisov, obrazov ali šarenic.
O raziskovalci zgradil napravo USB, ki bi lahko izvedla napad človeka v sredini (MitM), s čimer bi zagotovila dostop do ukradenega prenosnika ali celo dovolila napadalcu, da obide zaščito Windows Hello na nenadzorovani napravi.
Preprosteje rečeno, raziskovalci so ugotovili, da ranljivosti v senzorjih prstnih odtisov hekerjem omogočajo prestrezanje in manipulacijo podatkov, ki se pošiljajo med senzorjem prstnih odtisov in programsko opremo Windows Hello. To pomeni, da lahko hekerji ponaredijo vaš prstni odtis in pridobijo dostop do vašega računalnika, ne da bi se tega sploh zavedali.
To ni prvič, da je bila avtentikacija, ki temelji na biometriji Windows Hello, premagana. V 2021, je moral Microsoft popraviti ranljivost obhoda preverjanja pristnosti Windows Hello, ki je vključevala zajem infrardeče slike žrtve, da bi ponaredila funkcijo prepoznavanja obraza Windows Hello.
Raziskovalci priporočajo, da proizvajalci originalne opreme zagotovijo, da je na senzorjih prstnih odtisov omogočen protokol za varno povezavo naprav (SDCP) in da kvalificirani strokovnjak pregleda implementacijo senzorjev prstnih odtisov.
To pomeni, da bi morala podjetja, ki izdelujejo te naprave, ali proizvajalci originalne opreme (OEM), zagotoviti, da je za senzorje prstnih odtisov vklopljena posebna varnostna funkcija, imenovana protokol varne povezave naprave (SDCP). Prav tako morajo zagotoviti, da strokovnjak preveri senzor prstnih odtisov in se prepriča, da je varen.
Uporabniki bi morali posodobiti svojo programsko opremo Windows Hello in se izogibati uporabi prstnih odtisov na javnih računalnikih, da se zaščitijo pred to ranljivostjo.
