Uwierzytelnianie za pomocą odcisku palca uchodzi za jedno z bezpieczniejszych zabezpieczeń w większości urządzeń. Obronę Windows Hello od Microsoftu da się jednak obejść. Dokonała tego grupa badawcza, która miała sprawdzić skuteczność zabezpieczenia.
Uwierzytelnianie odcisków palców Windows Hello firmy Microsoft zostało ominięte w laptopach znanych firm, takich jak Dell, Lenovo czy Microsoft. Badacze cyberbezpieczeństwa z firmy Blackwing Intelligence odkryli wiele luk w najlepszych czujnikach linii papilarnych, które są wbudowane w laptopy i powszechnie używane przez firmy do zabezpieczania urządzeń za pomocą uwierzytelniania odcisków palców Windows Hello.
Microsoft może znaleźć się w sporych kłopotach, jeśli okaże się, że problem z nieskutecznym zabezpieczeniem uwierzytelniania za pomocą odcisku palca jest na większą skalę. Jak do tego doszło?
Microsoft Windows Hello z lukami zabezpieczenia
Microsoft zwrócił się do Blackwing Intelligence z prośbą o ocenę bezpieczeństwa czujników linii papilarnych. Zespół zidentyfikował popularne czujniki. Następnie szczegółowo opisano proces tworzenia urządzenia USB, który może przeprowadzić atak typu man-in-the-middle (MitM). Taki ruch mógłby zapewnić dostęp do skradzionego laptopa i z łatwością złamać zabezpieczenie urządzenia, jeśli dotyczy tylko formy odcisku palca.
Dell Inspiron 15, Lenovo ThinkPad T14 i Microsoft Surface Pro X padły ofiarą ataków na czytnik linii papilarnych, umożliwiając testerom ominięcie zabezpieczeń Windows Hello – o ile ktoś wcześniej korzystał z uwierzytelniania odcisków palców na urządzeniu. Badacze Blackwing Intelligence odkryli błędy w implementacji kryptograficznej w niestandardowym TLS na czujniku Synaptics.
Czujniki linii papilarnych są obecnie dosyć szeroko stosowane przez użytkowników laptopów z systemem Windows. A to wszystko w założeniu Microsoftu co do Windows Hello i przyszłości bez haseł. Firma ujawniła kilka lata temu, że niemal 90% konsumentów używało odcisku palca Windows Hello do logowania się do urządzeń z systemem Windows 10.
Przyszłość zabezpieczeń przez odcisk palca
To nie pierwszy raz, kiedy uwierzytelnianie biometryczne oparte na Windows Hello zostało pokonane. Microsoft został zmuszony do naprawienia luki w zabezpieczeniach Windows Hello w 2021 roku po przeprowadzeniu badań, które polegały na przechwyceniu obrazu ofiary w podczerwieni, aby możliwe było sfałszowanie funkcji rozpoznawania twarzy Windows Hello.
Badacze odkryli, że ochrona Microsoftu nie była włączona na dwóch z trzech urządzeń, które były celem ataku. Blackwing Intelligence zaleca teraz, aby producenci upewnili się, że ich systemy zabezpieczeń są włączone i że implementacja czujnika linii papilarnych jest kontrolowana przez wykwalifikowanego eksperta. Blackwing Intelligence bada również ataki na uszkodzenie pamięci oprogramowania układowego czujnika, a nawet bezpieczeństwo czujnika linii papilarnych na urządzeniach z systemami Linux, Android i Apple.
[VIDEO] Testujemy nowy komputer MacBook Pro M3, kpiąc z Windowsa
Pomimo że system uwierzytelniania za pomocą czytnik linii papilarnych uchodzi za jeden z najskuteczniejszych, dodatkowa ostrożność jest zawsze wskazana. Najnowsze badania nad cyberbezpieczeństwem z pewnością zmierzają w stronę przyszłości bez haseł. Powstają już liczne produkty takie jak KeyPass, które mają na celu pomóc nam skutecznie zabezpieczać swoje hasła i urządzenia. Jak zawsze w przypadku bezpieczeństwa – zwłaszcza tego online – najsłabszym ogniwem jest człowiek.