A Windows felhasználók örömmel látták a biometrikus azonosítást ujjlenyomat-alapú rendszerrel a laptopokon, hasonlóan az Apple laptopokon és számítógépeken található Touch ID-hez. A probléma az, hogy a dolgok nem mennek ugyanolyan simán a Windows esetében, ugyanis felfedeztek sebezhetőségeket a Windows Hello alkalmazásban az ujjlenyomat-alapú azonosításkor a prémium laptopokon.
Biztonsági kutatók feltárták, hogy az ujjlenyomat-hitelesítési rendszer Windows Hello, jelen van a három legnépszerűbb laptopon Windows, nem biztosítja az elvárt biztonsági szintet. A Microsoft kérésére a Blackwing Intelligence kiberbiztonsági cég behatolási teszteket végzett, és megállapította, hogy mindhárom laptop megbukott ezeken a teszteken.
Annak ellenére, hogy a Microsoft Surface-t tesztelték, a három közül a legsebezhetőbbnek bizonyult. modetesztelte őket, lehetővé téve az ujjlenyomat biometrikus hitelesítés egyszerű megkerülését Windows Hello.
A Microsoft kutatócsoportja (MORSE) kifejezetten kérte a laptopokba ágyazott legjobban teljesítő ujjlenyomat-érzékelők biztonsági értékelését, de az eredmények több sebezhetőséget mutattak ki, amelyeket a csapat sikeresen kihasznált. Minden laptop, beleértve a Dell Inspiron 15-öt és a Lenovo ThinkPad T14-et is, külön megközelítést igényelt a meglévő biztonsági protokollok megkerüléséhez.
Ezek a sebezhetőségek Windows Hello Az ujjlenyomat-hitelesítésről szóló cikk hangsúlyozza a hitelesítési rendszerek folyamatos fejlesztésének fontosságát a fokozott biztonság érdekében.
Tartalom
Windows Hello sebezhetőségek ujjlenyomat-alapú azonosításkor a Dell Inspiron 15 laptopon
Dell Inspiron 15 jelentős sebezhetőséget rejt magában Windows Hello ujjlenyomat-hitelesítéshez. Amikor a készülék be van kapcsolva Windows, teljes körű biztonsági protokollokat követ, beleértve Secure Device Connection Protocol (SDCP). Ezek a protokollok alapvető ellenőrzéseket hajtanak végre, például biztosítják, hogy a gazdagép megbízható eszközzel kommunikáljon, és hogy az ujjlenyomat-adatokat ne tárolják vagy továbbítsák. Azonban a csapat, amely tesztelte a sebezhetőségeket Windows Hello észrevette, hogy miközben hozzáfért az ujjlenyomat-olvasóhoz Windows SDCP-t használ, hozzáférést Linux nem. És támadt egy ötletük.
A céleszköz beindításával Linux és mellékhasználat Linux a támadó ujjlenyomatának az adatbázisba történő beírásához ugyanazt az azonosítót adva meg, mint egy legitim felhasználó, aki a következőn keresztül jelentkezett be Windows, a csapat sebezhetőséget azonosított. Annak ellenére, hogy ez a próbálkozás kezdetben sikertelen volt, külön chipen lévő adatbázisokat fedeztek fel a számára Windows şi Linux, meg lehetett határozni, hogyan Windows tudta, melyik adatbázishoz kell hozzáférni, és képes volt arra irányítani, amelyen van Linux.
Ez megnyitotta az utat a következő, támadást magában foglaló megoldás előtt Man in the Middle (MitM). Íme a biztonsági rés lépései Windows Hello az ujjlenyomat-hitelesítés bekapcsolásakor Dell Inspiron 15.
1. A rendszer be van kapcsolva Linux.
2. Az érvényes azonosítók listája. Tehát az engedélyezhetőek meg vannak határozva.
3. Megtörténik a támadó ujjlenyomatának regisztrálása a törvényes felhasználó azonosítójával Windows.
4. Írja be a támadást Man in the Middle (MitM) a gazdagép és az érzékelő közötti kapcsolaton.
5. Indítsa el a rendszert Windows.
6. A konfigurációs csomag elfogása és átírása, hogy az adatbázisra mutasson Linux MitM támadás segítségével.
7. A hitelesítés legitim felhasználóként történik a támadó ujjlenyomatával.
Viszonylag egyszerű módszer olyan felhasználók számára, akik átlagosan ismerik az operációs rendszerek architektúráját Linux és rendszerek Windows.
Ami a Microsoft Surface Pro 8 / X-et illeti, a sérülékenységet még könnyebb kihasználni.
Ujjlenyomat azonosítás sebezhetősége a Microsoft Surface Pro Type Cover esetében
Az ujjlenyomat-azonosítóval ellátott Microsoft Surface Pro Type Cover-en azonosított sebezhetőséget illetően a kutatócsoport arra számított, hogy egy hivatalos Microsoft-termék fogja a legmagasabb nehézségi fokot felmutatni, de megdöbbenve tapasztalták, hogy hihetetlenül gyenge a biztonság. Ebben az esetben nyilvánvaló volt a Secure Device Connection Protocol (SDCP) hiánya, valamint a tiszta szöveges (titkosítatlan) USB-kommunikáció és a hitelesítés hiánya.
A biztonság e hiányával a csapat úgy találta, hogy egyszerűen kihúzhatják az ujjlenyomat-érzékelőt, és csatlakoztathatják saját eszközüket, hogy utánozzák azt. Az eljárás a Type Cover leválasztásából (a vezető két csatlakoztatott érzékelőt nem tud kezelni, instabillá válik), a támadóeszköz csatlakoztatásából, a szenzor VID/PID-jének előmozdításából, az érvényes SID megfigyeléséből állt. Windows, átment a csekken"how many fingerprints” és az ujjlenyomat-hitelesítés kezdeményezése a rendszeren Windows, majd egy érvényes bejelentkezési választ küld a meghamisított eszközről.
Végezetül ezek a sebezhetőségek Windows Hello az ujjlenyomat-hitelesítéssel kapcsolatban rámutattak a biometrikus hitelesítési rendszerek megvalósításában előforduló jelentős sérülékenységekre.
Kapcsolódó: Hogyan lehet letiltani a hitelesítést a következővel: Windows Hello PIN-kód, arc és ujjlenyomat Windows 10
Mi is az a Windows Hello?
Először az operációs rendszer kiadásával mutatták be Windows 10 és továbbfejlesztett funkcionalitás biztosítása asztali és laptop számítógépeken Windows 11, Windows Hello egy gyorsabb és biztonságosabb módja annak, hogy azonnal hozzáférjen az eszközökhöz Windows.
Ez a fejlett hitelesítési rendszer lehetővé teszi az eszközök elérését Windows 11 PIN-kód, arcfelismerés vagy ujjlenyomat segítségével. Ezen lehetőségek kihasználásához be kell állítania egy PIN-kódot az ujjlenyomat vagy az arcfelismerés inicializálása során, de hitelesíthet csak a PIN-kóddal is.
Ezek a lehetőségek nemcsak jelentősen megkönnyítik a számítógépre való bejelentkezés folyamatát, hanem biztonságosabbá is teszik azt, mivel a PIN-kód csak egy eszközhöz van társítva, és biztonsági másolatot készítenek a helyreállításhoz a Microsoft-fiókon keresztül.
