微軟的Windows Hello指紋認(rèn)證已經(jīng)被破解,戴爾、聯(lián)想和微軟的筆記本電腦都受到影響。Blackwing Intelligence的安全研究人員發(fā)現(xiàn)了三款最受歡迎的指紋傳感器的多個漏洞,這些傳感器被企業(yè)廣泛用于通過Windows Hello指紋身份驗證保護(hù)筆記本電腦。
微軟的攻防研究和安全工程(MORSE)團(tuán)隊邀請 Blackwing Intelligence 評估指紋傳感器的安全性,研究人員在10月份的微軟BlueHat會議上發(fā)表了他們的研究結(jié)果。該團(tuán)隊將Goodix、Synaptics和ELAN的流行指紋傳感器確定為他們研究的目標(biāo),并在最新發(fā)布的博客文章中詳細(xì)介紹了構(gòu)建一種可以執(zhí)行中間人(MitM)攻擊的USB設(shè)備的深入過程。這樣的攻擊可能會提供對被盜筆記本電腦的訪問,甚至是對無人看管設(shè)備的“Evil Maid”攻擊。
戴爾Inspiron 15、聯(lián)想ThinkPad T14和微軟Surface Pro X都成為指紋讀取器攻擊的受害者,只要有人之前在設(shè)備上使用指紋驗證,研究人員就可以繞過Windows Hello保護(hù)。Blackwing Intelligence的研究人員對軟件和硬件進(jìn)行了逆向工程,發(fā)現(xiàn)了Synaptics傳感器上一個自定義TLS的加密實現(xiàn)缺陷。繞過Windows Hello的復(fù)雜過程還涉及到解碼和重新實現(xiàn)專有協(xié)議。
指紋傳感器現(xiàn)在被Windows筆記本電腦廣泛使用,這要歸功于微軟對Windows Hello和無密碼未來的推動。微軟在三年前透露,近85%的消費者使用Windows Hello來登錄Windows 10設(shè)備,而不是使用密碼。
這不是第一次Windows Hello基于生物特征的身份驗證失敗。2021年,微軟被迫修復(fù)了一個Windows Hello身份驗證繞過漏洞,此前一項概念驗證涉及捕捉受害者的紅外圖像,以欺騙Windows Hello的面部識別功能。
不過,目前還不清楚微軟是否能夠獨自修復(fù)這些最新的缺陷。Blackwing Intelligence的研究人員Jesse D'Aguanno和Timo Ter?s在他們關(guān)于缺陷的深入報告中寫道:“微軟在設(shè)計安全設(shè)備連接協(xié)議(SDCP)以在主機(jī)和生物識別設(shè)備之間提供安全通道方面做得很好,但不幸的是,設(shè)備制造商似乎誤解了其中的一些目標(biāo)。此外,SDCP只覆蓋了一個非常狹窄的典型設(shè)備的操作范圍,而大多數(shù)設(shè)備都暴露了一個相當(dāng)大的攻擊面,而SDCP根本沒有覆蓋這個攻擊面?!?/p>
研究人員發(fā)現(xiàn),在三臺目標(biāo)設(shè)備中,有兩臺沒有啟用微軟的SDCP保護(hù)。Blackwing Intelligence現(xiàn)在建議OEM確保啟用SDCP,并確保指紋傳感器的實施由合格的專家進(jìn)行審計。Blackwing Intelligence還在探索對傳感器固件的內(nèi)存損壞攻擊,甚至在Linux、Android和蘋果設(shè)備上的指紋傳感器安全。
審核編輯:彭菁
-
微軟
+關(guān)注
關(guān)注
4文章
6534瀏覽量
103808 -
筆記本電腦
+關(guān)注
關(guān)注
9文章
1391瀏覽量
47849 -
WINDOWS
+關(guān)注
關(guān)注
3文章
3509瀏覽量
88206 -
讀取器
+關(guān)注
關(guān)注
0文章
45瀏覽量
5223
原文標(biāo)題:微軟Windows Hello指紋認(rèn)證被破解 多款筆記本電腦受影響
文章出處:【微信號:IEEE_China,微信公眾號:IEEE電氣電子工程師】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。
發(fā)布評論請先 登錄
相關(guān)推薦
評論