研究人员能够绕过戴尔、联想和 Surface 笔记本电脑上的 Windows Hello 指纹验证

Blackwing Intelligence 的安全研究人员在流行的指纹传感器中发现了多个漏洞，使他们能够绕过戴尔、联想甚至微软笔记本电脑上的 Windows Hello 指纹身份验证。

什么是Windows Hello？
Windows Hello 使用指纹、面部或虹膜为 Windows 设备提供生物识别身份验证。

研究人员 构建了一个 USB 设备，可以执行中间人 (MitM) 攻击，提供对被盗笔记本电脑的访问，甚至允许攻击者绕过无人值守设备上的 Windows Hello 保护。

简而言之，研究人员发现指纹传感器中的漏洞允许黑客拦截和操纵指纹传感器和 Windows Hello 软件之间发送的数据。 这意味着黑客可以欺骗您的指纹并在您不知情的情况下访问您的计算机。

这并不是 Windows Hello 第一次基于生物识别的身份验证失败。 2021年，微软必须修复 Windows Hello 身份验证绕过漏洞，该漏洞涉及捕获受害者的红外图像以欺骗 Windows Hello 的面部识别功能。

研究人员建议 OEM 确保在指纹传感器上启用安全设备连接协议 (SDCP)，并由合格的专家审核指纹传感器的实施。

这意味着制造这些设备的公司，即原始设备制造商 (OEM)，应确保为指纹传感器打开一种称为安全设备连接协议 (SDCP) 的特殊安全功能。 他们还应该确保专家检查指纹传感器以确保其安全。

用户应该做的是更新Windows Hello软件并避免在公共计算机上使用指纹来防范此漏洞。