Вразливості у датчиках відбитків пальців дозволили дослідникам обійти автентифікацію Windows Hello

Дослідникам з безпеки компанії Blackwing Intelligence вдалося обійти біометричну автентифікацію за відбитком пальця Windows Hello на ноутбуках Dell, Lenovo і Microsoft Surface Pro X. Проблема – у датчиках відбитків. Фахівці провели атаку типу «Man in the middle» («Людина посередині»), і, використовуючи реінжиніринг програмного та апаратного забезпечення, виявили криптографічні недоліки у TLS датчиків Synaptics. Датчики Goodix та ELAN також мали свої вразливості. Результати дослідження фахівці представили у жовтні на конференції Microsoft BlueHat.

Сканери відбитків пальців щораз частіше використовуються на ноутбуках; цьому сприяє і прагнення Microsoft просувати Windows Hello та «майбутнє без паролів». Однак розробникам біометричної автентифікації не завжди вдається досягти належного рівня безпеки. 2021 року Microsoft вже стикнулася зі вразливістю, яка дозволяла обійти розпізнавання обличчя Windows Hello за допомогою інфрачервоного зображення жертви.

Фахівці з Blackwing Intelligence зазначили, що протокол безпечного з’єднання з пристроями Microsoft (SDCP) був вимкнений на двох із трьох досліджуваних пристроїв. Виробникам радять вмикати SDCP та проводити аудит впровадження дактилоскопічних датчиків. На черзі – перевірка біометричних датчиків на пристроях Linux, Android та Apple.