Windows-användare var entusiastiska över att se enheter med biometrisk autentisering baserad på fingeravtryck, liknande Touch ID på Apples bärbara datorer och datorer. Problemet är dock att det inte fungerar lika smidigt på Windows, eftersom sårbarheter har upptäckts i Windows Hello vid fingeravtrycksautentisering på högpresterande bärbara datorer.
Säkerhetsforskare avslöjade att fingeravtrycksautentiseringssystemet Windows Hello, finns på tre av de mest populära bärbara datorerna Windows, ger inte den förväntade säkerhetsnivån. På Microsofts begäran genomförde cybersäkerhetsföretaget Blackwing Intelligence penetrationstester och fann att alla tre bärbara datorer inte klarade dessa tester.
Trots att Microsoft Surface utsattes för tester visade det sig vara den mest sårbara av de tre modetestade dem, vilket möjliggör enkel förbikoppling av biometrisk autentisering med fingeravtryck Windows Hello.
Microsofts forskargrupp (MORSE) begärde uttryckligen säkerhetsbedömningen för de topppresterande fingeravtryckssensorerna inbäddade i bärbara datorer, men resultaten visade på flera sårbarheter som framgångsrikt utnyttjats av teamet. Varje bärbar dator, inklusive Dell Inspiron 15 och Lenovo ThinkPad T14, krävde olika tillvägagångssätt för att kringgå befintliga säkerhetsprotokoll.
Dessa sårbarheter Windows Hello om fingeravtrycksautentisering understryker den ständiga vikten av att förbättra autentiseringssystemen för att säkerställa en ökad säkerhetsnivå.
Koppprins
Sårbarheter i Windows Hello vid fingeravtrycksautentisering på Dell Inspiron 15
Dell Inspiron 15 uppvisar betydande sårbarheter Windows Hello för fingeravtrycksautentisering. När enheten slås på Windows, den följer fullständiga säkerhetsprotokoll, inklusive Secure Device Connection Protocol (SDCP). Dessa protokoll utför viktiga kontroller, som att säkerställa att värden kommunicerar med en betrodd enhet och att fingeravtrycksdata inte lagras eller vidarebefordras. Däremot teamet som testade sårbarheter Windows Hello märkte det när åtkomst till fingeravtrycksläsaren in Windows använder SDCP, tillgång till Linux inte. Och de fick en idé.
Genom att initiera målenheten i Linux och sidoanvändning Linux att ange angriparens fingeravtryck i databasen genom att ange samma ID som en legitim användare inloggad via Windows, identifierade teamet en sårbarhet. Även om detta försök till en början misslyckades, eftersom separata on-chip-databaser upptäcktes för Windows şi Linux, det gick att avgöra hur Windows visste vilken databas man skulle komma åt och kunde dirigera den till den på Linux.
Detta öppnade vägen för nästa lösning, som involverade en attack Man in the Middle (MitM). Här är stegen för denna sårbarhet Windows Hello vid fingeravtrycksautentisering på Dell Inspiron 15.
1. Systemet är påslaget Linux.
2. Giltiga ID är listade. Så de som kan auktoriseras bestäms.
3. Registrering av angriparens fingeravtryck med samma ID som en legitim användare utförs Windows.
4. Typ attack Man in the Middle (MitM) på anslutningen mellan värden och sensorn.
5. Starta systemet i Windows.
6. Fånga upp och skriva om konfigurationspaketet för att peka på databasen Linux använder MitM-attacken.
7. Autentisering görs som en legitim användare med angriparens fingeravtryck.
En relativt enkel metod för den typ av användare som har en genomsnittlig kunskap om operativsystemets arkitektur Linux och system Windows.
När det gäller Microsoft Surface Pro 8/X är sårbarheten ännu lättare att utnyttja.
Sårbarhet för fingeravtrycks-ID på Microsoft Surface Pro Type Cover
När det gäller sårbarheten som identifierats på Microsoft Surface Pro Type Cover med Fingerprint ID, förväntade sig forskargruppen att en officiell Microsoft-produkt skulle ha den högsta svårighetsgraden, men de blev förvånade över att hitta otroligt svag säkerhet. I det här fallet var bristen på Secure Device Connection Protocol (SDCP) uppenbar, tillsammans med klartext (okrypterad) USB-kommunikation och frånvaron av autentisering.
Med denna brist på säkerhet fann teamet att de helt enkelt kunde koppla ur fingeravtryckssensorn och koppla in sin egen enhet för att efterlikna den. Proceduren bestod av att koppla bort Type Cover (föraren kan inte hantera två anslutna sensorer, blir instabil), ansluta attackenheten, främja sensorns VID/PID, observera det giltiga SID från föraren Windows, klarar kontrollen "how many fingerprints” och initierar fingeravtrycksautentisering på systemet Windows, följt av att skicka ett giltigt inloggningssvar från den falska enheten.
Sammanfattningsvis dessa sårbarheter Windows Hello om fingeravtrycksautentisering påpekade de betydande sårbarheter som kan finnas i implementeringen av biometriska autentiseringssystem.
Relaterat: Hur inaktiverar du autentisering med Windows Hello PIN-kod, ansikte och fingeravtryck in Windows 10
Vad det är Windows Hello?
Först introducerades med lanseringen av operativsystemet Windows 10 och fortsätter att tillhandahålla förbättrad funktionalitet på stationära och bärbara datorer Windows 11, Windows Hello är ett snabbare och säkrare sätt att få omedelbar åtkomst till enheter Windows.
Detta avancerade autentiseringssystem ger dig möjlighet att komma åt dina enheter Windows 11 med hjälp av en PIN-kod, ansiktsigenkänning eller fingeravtryck. För att dra fördel av dessa alternativ måste du ställa in en PIN-kod under initiering av fingeravtryck eller ansiktsigenkänning, men du kan också autentisera med bara din PIN-kod.
Dessa alternativ gör inte bara inloggningen på din PC betydligt enklare, utan gör den också säkrare, eftersom din PIN-kod är kopplad till endast en enhet och säkerhetskopieras för återställning via ditt Microsoft-konto.
