Zespół badaczy bezpieczeństwa odkrył luki w zabezpieczeniach wbudowanych czujników odcisków palców używanych przez Windows Hello, system uwierzytelniania biometrycznego firmy Microsoft, umożliwiający ominięcie zabezpieczeń w laptopach Dell Inspiron, Lenovo ThinkPad i Microsoft Surface Pro X.
Badacze naruszają zabezpieczenia odcisków palców Windows Hello
Badaczom z Blackwing Intelligence udało się wykorzystać słabości czujników firm ELAN, Synaptics i Goodix, które są powszechnie stosowane w laptopach i innych urządzeniach.
Korzystając z niestandardowego urządzenia Raspberry Pi 4 z systemem Linux, badacze byli w stanie przechwycić i manipulować komunikacją między czujnikiem linii papilarnych a laptopem, co pozwoliło im sfałszować czujnik i skutecznie uwierzytelnić się jako legalny użytkownik.
Odkrycia badaczy podkreślają potrzebę zapewnienia przez producentów prawidłowego wdrożenia i zabezpieczenia systemów uwierzytelniania biometrycznego, ponieważ luki w tych systemach mogą mieć poważne konsekwencje.
Firma Microsoft potwierdziła istnienie luk i współpracuje z producentami nad ich usunięciem. Firma zaleca również, aby użytkownicy włączyli uwierzytelnianie dwuskładnikowe jako dodatkową warstwę bezpieczeństwa.
Oprócz umożliwienia uwierzytelniania dwuskładnikowego użytkownicy mogą także podjąć kroki mające na celu ochronę swoich odcisków palców, na przykład unikanie używania tego samego odcisku palca na wielu urządzeniach i przechowywanie danych odcisków palców w niezaszyfrowanych środowiskach.
Ogólnie rzecz biorąc, ustalenia badaczy podkreślają znaczenie czujności w zakresie cyberbezpieczeństwa, ponieważ nawet powszechnie używane i zaufane systemy mogą być podatne na ataki.
Dodatkowe kluczowe wnioski
- Czujniki typu „match-on-chip” (MoC), które mają być bezpieczniejsze niż tradycyjne czujniki odcisków palców, nadal mogą być podatne na ataki.
- Secure Device Connection Protocol (SDCP), protokół zaprojektowany w celu ochrony komunikacji między czujnikami linii papilarnych a laptopami, nie był włączony w dwóch z trzech testowanych laptopów.
- Producenci muszą przyjąć bardziej proaktywne podejście do zabezpieczania systemów uwierzytelniania biometrycznego.
Użytkownicy mogą pomóc chronić się poprzez
- Włączanie uwierzytelniania dwuskładnikowego.
- Unikaj używania tego samego odcisku palca na wielu urządzeniach.
- Unikaj przechowywania danych odcisków palców w niezaszyfrowanych środowiskach.
- Świadomość najnowszych zagrożeń i luk w zabezpieczeniach cyberbezpieczeństwa.
Co to oznacza dla Ciebie?
Badanie to przypomina, że nawet powszechnie używane i zaufane systemy mogą być podatne na ataki. Ważne jest, aby mieć świadomość najnowszych zagrożeń i luk w zabezpieczeniach cyberbezpieczeństwa oraz podejmować kroki w celu ochrony, takie jak umożliwienie uwierzytelniania dwuskładnikowego i unikanie używania tego samego odcisku palca na wielu urządzeniach.
Tymczasem, jeśli chcesz przeczytać inne wiadomości, szczególnie na temat firmy Microsoft, zapoznaj się z naszym innym artykułem: Microsoft Copilot Studio utworzy, dostosuje i zbuduje dla Ciebie drugich pilotów.
Autor wyróżnionego obrazu: Dell/Unsplash
Source: Badacze omijają uwierzytelnianie za pomocą linii papilarnych Windows Hello