„Windows Hello“ pirštų atspaudų autentiškumo nustatymo jutikliai nėra tokie saugūs, kaip tikėjosi gamintojai.
Bendrovės „Blackwing Intelligence“ saugumo tyrėjai pranešė aptikę saugumo spragų pirštų atspaudų jutikliuose, naudojamuose kai kuriuose nešiojamuosiuose kompiuteriuose, kurie veikia su „Windows Hello“ autentifikavimo funkcija.
Programišių taikinyje – Dell, Lenovo, Microsoft
„Blackwing Intelligence“ atskleidė, kad „Dell“, „Lenovo“ ir „Microsoft“ gaminamuose nešiojamuosiuose kompiuteriuose naudojamą „Windows Hello“ pirštų atspaudų autentifikavimo funkciją galima lengvai apeiti dėl jos jutiklių pažeidžiamumų. Tai reiškia, kad šiuos kompiuterius sisteminiu lygmeniu gali lengvai perimti programišiai.
Bendrovės „Blackwing Intelligence“ tyrėjai išbandė „Dell Inspiron 15“, „Lenovo ThinkPad T14“ ir „Microsoft Surface Pro X“, kurie visi tapo įvairių apėjimo metodų aukomis atvejais, kai buvo panaudotas piršto antspaudas prisijungimui prie įrenginių.
Tyrėjai pažymėjo, kad tam, jog apeitų autentifikavimo funkciją, jiems reikėjo atlikti nešiojamųjų kompiuterių techninės ir programinės įrangos atvirkštinę inžineriją. Visų pirma jie rado trūkumų „Synaptics“ jutiklio saugumo sluoksnyje. Norėdami apeiti „Windows Hello“ nustatymus, juos iššifravo ir pertvarkė, taip įsilauždami į kompiuterius.
Jų teigimu, „Microsoft“ saugaus įrenginio prijungimo protokolas (SDCP) yra geras bandymas taikyti biometrinių duomenų standarto saugumo priemonę. Tačiau ne visi gamintojai šią funkciją įgyvendino pakankamai gerai, o kai kurie apskritai jos neįjungė. Viename iš trijų tyrime nagrinėtų nešiojamųjų kompiuterių SDCP buvo išjungta.
Riziką kelia įvairūs biometriniai prisijungimai
„Blackwing Intelligence“ pažymėjo, kad pradinė priemonė, padedanti apsaugoti nešiojamuosius kompiuterius su „Windows Hello“, yra SDCP įjungimas iš gamintojo pusės.
Dar 2021 m. buvo nustatytas „Windows Hello“ veido atpažinimo biometrinių duomenų trūkumas, kuris leido naudotojams apeiti šią funkciją atlikus tam tikrus pakeitimus.
Tuomet bendrovė „Microsoft“ buvo priversta atnaujinti savo funkciją po to, kai tyrėjai pateikė koncepcijos įrodymą, kuriame buvo demonstruojama, kaip naudotojai su kaukėmis ar plastinėmis operacijomis apeina „Windows Hello“ veido atpažinimo autentifikavimą.
Jutiklių pažeidžiamumai atsiranda įmonėms pereinant prie biometrinių duomenų kaip pagrindinės prieigos prie įrenginių galimybės.
Prognozuojama, kad laikui bėgant slaptažodžių naudojimas ir toliau mažės – vis daugiau vartotojų vietoj slaptažodžio renkasi biometrinį prisijungimą. Taigi turėti saugesnius biometrinius prisijungimus bus ne tik „Microsoft“ užduotis.