Windows-brugere var begejstrede for at se enheder med fingeraftryksbaseret biometrisk autentificering, lignende Apples Touch ID på bærbare computere og computere. Problemet er, at tingene ikke fungerer så problemfrit på Windows, da der er blevet opdaget sårbarheder i Windows Hello ved fingeraftryksautentificering på topbærbare computere.
Sikkerhedsforskere afslørede, at fingeraftryksgodkendelsessystemet Windows Hello, til stede på tre af de mest populære bærbare computere Windows, giver ikke det forventede sikkerhedsniveau. På Microsofts anmodning gennemførte cybersikkerhedsfirmaet Blackwing Intelligence penetrationstests og fandt ud af, at alle tre bærbare computere fejlede disse tests.
På trods af at Microsoft Surface blev udsat for test, viste det sig at være den mest sårbare af de tre modetestet dem, hvilket tillader let omgåelse af biometrisk godkendelse af fingeraftryk Windows Hello.
Microsofts forskerhold (MORSE) anmodede eksplicit om sikkerhedsvurderingen for de bedste fingeraftrykssensorer indlejret i bærbare computere, men resultaterne viste, at flere sårbarheder blev udnyttet af teamet. Hver bærbar computer, inklusive Dell Inspiron 15 og Lenovo ThinkPad T14, krævede forskellige tilgange til at omgå eksisterende sikkerhedsprotokoller.
Disse sårbarheder Windows Hello om fingeraftryksgodkendelse understreger den fortsatte betydning af at forbedre autentificeringssystemerne for at sikre et øget sikkerhedsniveau.
Indhold
Sikkerhedsproblemer med Windows Hello ved fingeraftryksautentificering på Dell Inspiron 15
Dell Inspiron 15 frembyder betydelige sårbarheder Windows Hello til fingeraftryksgodkendelse. Når enheden er tændt i Windows, følger den fulde sikkerhedsprotokoller, inklusive Secure Device Connection Protocol (SDCP). Disse protokoller udfører væsentlige kontroller, såsom at sikre, at værten kommunikerer med en betroet enhed, og at fingeraftryksdata ikke lagres eller videresendes. Men holdet, der testede sårbarheder Windows Hello bemærkede, at mens adgang til fingeraftrykslæseren ind Windows bruger SDCP, adgang til Linux ikke. Og de fik en idé.
Ved at starte målenheden i Linux og sidebrug Linux at indtaste angriberens fingeraftryk i databasen ved at angive det samme ID som en legitim bruger, der er logget ind via Windows, holdet identificerede en sårbarhed. Selvom dette forsøg i starten var mislykket, da der blev opdaget separate on-chip-databaser for Windows şi Linux, var det muligt at bestemme hvordan Windows vidste hvilken database der skulle tilgå og var i stand til at dirigere den til den på Linux.
Dette åbnede vejen for den næste løsning, der involverede et angreb Man in the Middle (MitM). Her er trinene for denne sårbarhed Windows Hello ved fingeraftryksgodkendelse på Dell Inspiron 15.
1. Systemet er tændt Linux.
2. Gyldige ID'er er angivet. Så dem, der kan godkendes, er bestemt.
3. Registrering af angriberens fingeraftryk med samme id som en legitim bruger udføres Windows.
4. Skriv angreb Man in the Middle (MitM) på forbindelsen mellem værten og sensoren.
5. Start systemet i Windows.
6. Opsnappe og omskrive konfigurationspakken for at pege på databasen Linux ved hjælp af MitM-angrebet.
7. Godkendelse udføres som en legitim bruger med angriberens fingeraftryk.
En forholdsvis simpel metode for den type bruger, der har et gennemsnitligt kendskab til operativsystemets arkitektur Linux og systemer Windows.
Hvad angår Microsoft Surface Pro 8/X, er sårbarheden endnu nemmere at udnytte.
Fingeraftryks-ID-sårbarhed på Microsoft Surface Pro Type Cover
Med hensyn til sårbarheden identificeret på Microsoft Surface Pro Type Cover med Fingerprint ID, forventede forskerteamet, at et officielt Microsoft-produkt havde den højeste sværhedsgrad, men de var forbløffede over at finde en utrolig svag sikkerhed. I dette tilfælde var manglen på Secure Device Connection Protocol (SDCP) tydelig, sammen med klar tekst (ukrypteret) USB-kommunikation og fraværet af godkendelse.
Med denne mangel på sikkerhed fandt teamet ud af, at de simpelthen kunne tage stikket ud af fingeraftrykssensoren og tilslutte deres egen enhed for at efterligne den. Proceduren bestod i at frakoble Type Cover (driveren kan ikke håndtere to tilsluttede sensorer, bliver ustabil), tilslutte angrebsenheden, promovere VID/PID af sensoren, observere det gyldige SID fra driveren Windows, bestå checken "how many fingerprints” og initiering af fingeraftryksgodkendelse på systemet Windows, efterfulgt af at sende et gyldigt login-svar fra den forfalskede enhed.
Afslutningsvis disse sårbarheder Windows Hello om fingeraftryksgodkendelse påpeget de betydelige sårbarheder, der kan eksistere i implementeringen af biometriske autentificeringssystemer.
Relateret: Sådan deaktiveres godkendelse med Windows Hello PIN-kode, ansigt og fingeraftryk ind Windows 10
Hvad er Windows Hello?
Først introduceret med udgivelsen af operativsystemet Windows 10 og fortsætter med at levere forbedret funktionalitet på stationære og bærbare computere Windows 11, Windows Hello er en hurtigere og mere sikker måde at få øjeblikkelig adgang til enheder Windows.
Dette avancerede godkendelsessystem giver dig mulighed for at få adgang til dine enheder Windows 11 ved hjælp af en pinkode, ansigtsgenkendelse eller fingeraftryk. For at drage fordel af disse muligheder skal du konfigurere en PIN-kode under initialisering af fingeraftryk eller ansigtsgenkendelse, men du kan også autentificere med kun din PIN-kode.
Disse muligheder gør ikke kun processen med at logge ind på din pc væsentligt nemmere, men gør den også mere sikker, da din PIN-kode kun er knyttet til én enhed og sikkerhedskopieres til gendannelse via din Microsoft-konto.
