بحسب موقع Neowin ، كشف فريق Blackwell Intelligence عن نتائج بحثه في أكتوبر الماضي خلال مؤتمر BlueHat الأمني الذي نظمته مايكروسوفت، لكنه لم ينشرها على موقعه الإلكتروني إلا هذا الأسبوع. ويشير منشور المدونة، بعنوان "لمسة من الاختراق"، إلى أن الفريق استخدم مستشعرات بصمات الأصابع الموجودة داخل أجهزة الكمبيوتر المحمولة Dell Inspiron 15 وLenovo ThinkPad T14، بالإضافة إلى غطاء لوحة المفاتيح Microsoft Surface Pro المزود ببصمة الإصبع والمصمم خصيصًا لأجهزة Surface Pro 8 وX. وقد صُنعت مستشعرات بصمات الأصابع هذه من قبل شركات Goodix وSynaptics وELAN.
بعد حوالي ثلاثة أشهر من البحث، اكتشف بلاكويل ثغرة أمنية في نظام ويندوز هيلو.
جميع أجهزة استشعار بصمات الأصابع التي تدعم Windows Hello والتي قمنا باختبارها تستخدم أجهزة تعتمد على الرقائق، مما يعني أن عملية المصادقة تتم على المستشعر نفسه، والذي يحتوي على شريحة ووحدة تخزين خاصة به.
أوضحت شركة بلاكويل في بيانها أن قاعدة بيانات "أنماط بصمات الأصابع" (البيانات البيومترية التي يلتقطها مستشعر بصمات الأصابع) تُخزّن على الشريحة ، حيث تتم عملية التسجيل والمطابقة مباشرةً داخل الشريحة. ولأن أنماط بصمات الأصابع لا تغادر الشريحة مطلقًا، فإن هذا يُزيل المخاوف المتعلقة بالخصوصية، إذ تُخزّن البيانات البيومترية بشكل آمن. كما يمنع هذا أيضًا الهجمات التي تتضمن إرسال صور بصمات أصابع صحيحة إلى خادم للمطابقة.
مع ذلك، تمكن بلاكويل من تجاوز النظام باستخدام الهندسة العكسية لاكتشاف ثغرة أمنية في مستشعر بصمة الإصبع، ثم أنشأ جهاز USB منفصلاً لتنفيذ هجوم الوسيط (MitM). سمح هذا الجهاز للمجموعة بتجاوز جهاز التحقق من بصمة الإصبع في تلك الأجهزة.
بحسب بلاكويل، على الرغم من أن مايكروسوفت تستخدم بروتوكول اتصال الأجهزة الآمن (SDCP) لتوفير قناة اتصال آمنة بين الخادم وجهاز القياسات الحيوية، إلا أن اثنين من أصل ثلاثة أجهزة استشعار بصمات الأصابع التي تم اختبارها لم تكن مزودة ببروتوكول SDCP. توصي بلاكويل جميع شركات تصنيع أجهزة استشعار بصمات الأصابع ليس فقط بتفعيل بروتوكول SDCP في منتجاتها، بل أيضاً بالاستعانة بشركة خارجية للتأكد من عمله بكفاءة.
تجدر الإشارة إلى أن شركة بلاكويل أمضت نحو ثلاثة أشهر في محاولة التفوق على منتجات أجهزة استشعار بصمات الأصابع هذه. ولا يزال من غير الواضح كيف ستتعامل مايكروسوفت وغيرها من شركات مستشعرات بصمات الأصابع مع هذه المسألة بناءً على هذا البحث.
رابط المصدر
تعليق (0)