নিরাপত্তা ত্রুটির কারণে আঙুলের ছাপ ছাড়াই পিসি অ্যাক্সেস করা সম্ভব

[বিজ্ঞাপন_১]

নিওউইনের মতে, ব্ল্যাকওয়েল ইন্টেলিজেন্স টিম অক্টোবরে মাইক্রোসফটের ব্লুহ্যাট সিকিউরিটি কনফারেন্সের সময় তাদের ফলাফল প্রকাশ করেছিল, কিন্তু তারা এই সপ্তাহেই তাদের নিজস্ব ওয়েবসাইটে ফলাফল প্রকাশ করেছে। "A Touch of Pwn" শিরোনামের ব্লগ পোস্টে বলা হয়েছে যে দলটি Dell Inspiron 15 এবং Lenovo ThinkPad T14 ল্যাপটপের ভিতরে ফিঙ্গারপ্রিন্ট সেন্সর ব্যবহার করেছে, সেইসাথে Surface Pro 8 এবং X এর জন্য তৈরি ফিঙ্গারপ্রিন্ট আইডি সহ Microsoft Surface Pro টাইপ কভার ব্যবহার করেছে। নির্দিষ্ট ফিঙ্গারপ্রিন্ট সেন্সরগুলি Goodix, Synaptics এবং ELAN দ্বারা তৈরি করা হয়েছিল।

Lỗ hổng bảo mật cho phép truy cập PC không cần dấu vân tay - Ảnh 1. — উইন্ডোজ হ্যালোতে একটি দুর্বলতা আবিষ্কার করতে ব্ল্যাকওয়েলকে প্রায় তিন মাস গবেষণা করতে হয়েছিল।

আমরা যে সমস্ত Windows Hello-সক্ষম ফিঙ্গারপ্রিন্ট সেন্সর পরীক্ষা করেছি সেগুলি চিপ-ভিত্তিক হার্ডওয়্যার ব্যবহার করে, যার অর্থ প্রমাণীকরণ সেন্সরেই পরিচালিত হয়, যার নিজস্ব চিপ এবং স্টোরেজ রয়েছে।

তার বিবৃতিতে, ব্ল্যাকওয়েল বলেছেন যে "ফিঙ্গারপ্রিন্ট টেমপ্লেট" (ফিঙ্গারপ্রিন্ট সেন্সর দ্বারা ধারণ করা বায়োমেট্রিক ডেটা) এর ডাটাবেস চিপে সংরক্ষণ করা হয় এবং নিবন্ধন এবং ম্যাচিং সরাসরি চিপে করা হয়। যেহেতু ফিঙ্গারপ্রিন্ট টেমপ্লেটগুলি কখনও চিপ থেকে বেরিয়ে যায় না, তাই এটি গোপনীয়তার উদ্বেগ দূর করে কারণ বায়োমেট্রিক ডেটা নিরাপদে সংরক্ষণ করা হয়। এটি ম্যাচিংয়ের জন্য সার্ভারে বৈধ ফিঙ্গারপ্রিন্ট ছবি পাঠানোর সাথে জড়িত আক্রমণগুলিকেও প্রতিরোধ করে।

তবে, ফিঙ্গারপ্রিন্ট সেন্সরগুলিতে দুর্বলতা খুঁজে বের করার জন্য রিভার্স ইঞ্জিনিয়ারিং ব্যবহার করার পরেও ব্ল্যাকওয়েল সিস্টেমটি বাইপাস করতে সক্ষম হন, তারপরে তার নিজস্ব USB ডিভাইস তৈরি করেন যা ম্যান-ইন-দ্য-মিডল (MitM) আক্রমণ করতে পারে। এই ডিভাইসটি গ্রুপটিকে সেই ডিভাইসগুলিতে ফিঙ্গারপ্রিন্ট প্রমাণীকরণ হার্ডওয়্যার বাইপাস করার অনুমতি দেয়।

ব্ল্যাকওয়েলের মতে, যদিও মাইক্রোসফট সার্ভার এবং বায়োমেট্রিক ডিভাইসের মধ্যে একটি সুরক্ষিত চ্যানেল প্রদানের জন্য সিকিউর ডিভাইস কানেকশন প্রোটোকল (SDCP) ব্যবহার করে, পরীক্ষিত তিনটি ফিঙ্গারপ্রিন্ট সেন্সরের মধ্যে দুটিতে SDCP সক্ষম করা হয়নি। ব্ল্যাকওয়েল সুপারিশ করে যে সমস্ত ফিঙ্গারপ্রিন্ট সেন্সর কোম্পানি কেবল তাদের পণ্যগুলিতে SDCP সক্ষম করবে না, বরং এটি কাজ করে তা নিশ্চিত করার জন্য একটি তৃতীয় পক্ষের কোম্পানিও নিয়োগ করবে।

একটি বিষয় লক্ষণীয় যে ব্ল্যাকওয়েল এই ফিঙ্গারপ্রিন্ট হার্ডওয়্যার পণ্যগুলি অতিক্রম করার জন্য প্রায় তিন মাস সময় ব্যয় করেছে। এই গবেষণার ভিত্তিতে মাইক্রোসফ্ট এবং অন্যান্য ফিঙ্গারপ্রিন্ট সেন্সর কোম্পানিগুলি কীভাবে সমস্যাটি সমাধান করবে তা স্পষ্ট নয়।

[বিজ্ঞাপন_২]
উৎস লিঙ্ক