นักวิจัยสามารถเลี่ยงการรับรองความถูกต้องด้วยลายนิ้วมือของ Windows Hello บนแล็ปท็อป Dell, Lenovo และ Surface ได้

นักวิจัยด้านความปลอดภัยที่ Blackwing Intelligence ได้ค้นพบช่องโหว่หลายประการในเซ็นเซอร์ลายนิ้วมือยอดนิยม ซึ่งช่วยให้สามารถข้ามการตรวจสอบลายนิ้วมือ Windows Hello บน Dell, Lenovo และแม้แต่แล็ปท็อป Microsoft

Windows Hello คืออะไร
Windows Hello เสนอการรับรองความถูกต้องด้วยชีวมาตรสำหรับอุปกรณ์ Windows โดยใช้ลายนิ้วมือ ใบหน้า หรือม่านตา

พื้นที่ นักวิจัย สร้างอุปกรณ์ USB ที่สามารถทำการโจมตีแบบ Man-in-the-Middle (MitM) โดยให้การเข้าถึงแล็ปท็อปที่ถูกขโมย หรือแม้แต่การอนุญาตให้ผู้โจมตีข้ามการป้องกัน Windows Hello บนอุปกรณ์ที่ไม่ต้องดูแลได้

นักวิจัยพบว่าช่องโหว่ในเซ็นเซอร์ลายนิ้วมือทำให้แฮกเกอร์สามารถสกัดกั้นและจัดการข้อมูลที่ถูกส่งระหว่างเซ็นเซอร์ลายนิ้วมือและซอฟต์แวร์ Windows Hello ซึ่งหมายความว่าแฮกเกอร์สามารถปลอมแปลงลายนิ้วมือของคุณและเข้าถึงคอมพิวเตอร์ของคุณโดยที่คุณไม่รู้ตัว

นี่ไม่ใช่ครั้งแรกที่การรับรองความถูกต้องโดยใช้ไบโอเมตริกของ Windows Hello พ่ายแพ้ ใน 2021Microsoft ต้องแก้ไขช่องโหว่ในการข้ามการรับรองความถูกต้องของ Windows Hello ที่เกี่ยวข้องกับการจับภาพอินฟราเรดของเหยื่อเพื่อปลอมแปลงคุณสมบัติการจดจำใบหน้าของ Windows Hello

นักวิจัยแนะนำให้ OEM ตรวจสอบให้แน่ใจว่า Secure Device Connection Protocol (SDCP) ถูกเปิดใช้งานบนเซ็นเซอร์ลายนิ้วมือ และผู้เชี่ยวชาญที่ผ่านการรับรองจะตรวจสอบการใช้งานเซ็นเซอร์ลายนิ้วมือ

หมายความว่าบริษัทที่ผลิตอุปกรณ์เหล่านี้ หรือที่รู้จักในชื่อผู้ผลิตอุปกรณ์ดั้งเดิม (OEM) ควรตรวจสอบให้แน่ใจว่าได้เปิดใช้งานคุณสมบัติความปลอดภัยพิเศษที่เรียกว่า Secure Device Connection Protocol (SDCP) สำหรับเซ็นเซอร์ลายนิ้วมือแล้ว พวกเขาควรตรวจสอบให้แน่ใจด้วยว่าผู้เชี่ยวชาญตรวจสอบเซ็นเซอร์ลายนิ้วมือเพื่อให้แน่ใจว่าปลอดภัย

สิ่งที่ผู้ใช้ควรทำคือควรอัปเดตซอฟต์แวร์ Windows Hello และหลีกเลี่ยงการใช้ลายนิ้วมือบนคอมพิวเตอร์สาธารณะเพื่อป้องกันช่องโหว่นี้