Podle serveru Neowin tým Blackwell Intelligence zveřejnil svá zjištění v říjnu během bezpečnostní konference Microsoftu BlueHat, ale výsledky zveřejnil na svých webových stránkách až tento týden. V blogovém příspěvku s názvem „A Touch of Pwn“ se uvádí, že tým použil snímače otisků prstů uvnitř notebooků Dell Inspiron 15 a Lenovo ThinkPad T14, a také kryty Microsoft Surface Pro Type Cover s identifikací otisků prstů vyrobené pro Surface Pro 8 a X. Konkrétní snímače otisků prstů vyrobily společnosti Goodix, Synaptics a ELAN.
Společnosti Blackwell trvalo asi tři měsíce výzkumu, než objevila zranitelnost ve Windows Hello.
Všechny testované snímače otisků prstů s podporou Windows Hello používají hardware založený na čipu, což znamená, že ověřování probíhá na samotném snímači, který má svůj vlastní čip a úložiště.
Blackwell ve svém prohlášení uvedl, že databáze „šablon otisků prstů“ (biometrických údajů zachycených snímačem otisků prstů) je uložena na čipu a registrace a porovnávání probíhá přímo na čipu. Vzhledem k tomu, že šablony otisků prstů nikdy neopouštějí čip, eliminují se obavy o soukromí, jelikož biometrická data jsou uložena bezpečně. Tím se také zabraňuje útokům, které zahrnují odesílání platných otisků prstů na server k porovnání.
Blackwellovi se však i tak podařilo systém obejít poté, co pomocí reverzního inženýrství našel zranitelnosti v senzorech otisků prstů a poté vytvořil vlastní USB zařízení, které dokázalo provést útok typu „man-in-the-middle“ (MitM). Toto zařízení skupině umožnilo obejít hardware pro ověřování otisků prstů v těchto zařízeních.
Podle společnosti Blackwell, ačkoliv Microsoft používá protokol SDCP (Secure Device Connection Protocol) k zajištění zabezpečeného kanálu mezi serverem a biometrickým zařízením, dva ze tří testovaných snímačů otisků prstů neměly SDCP povolený. Společnost Blackwell doporučuje, aby všechny společnosti vyrábějící snímače otisků prstů nejen povolily SDCP ve svých produktech, ale aby také jeho fungování zajistily externí společností.
Je třeba poznamenat, že Blackwell strávil asi tři měsíce snahou obejít tyto hardwarové produkty pro snímače otisků prstů. Na základě tohoto výzkumu není jasné, jak Microsoft a další společnosti zabývající se snímači otisků prstů tento problém vyřeší.
Zdrojový odkaz
![[Fotografie] Ukončení 13. konference ústředního výboru strany 13. sněmu](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/10/08/1759893763535_ndo_br_a3-bnd-2504-jpg.webp)
Komentář (0)