Según Neowin , el equipo de Blackwell Intelligence reveló sus hallazgos en octubre pasado en la conferencia de seguridad BlueHat de Microsoft, pero no los publicó en su sitio web hasta esta semana. La entrada del blog, titulada "A Touch of Pwn", afirma que el equipo utilizó sensores de huellas dactilares en las laptops Dell Inspiron 15 y Lenovo ThinkPad T14, junto con la funda con teclado Microsoft Surface Pro con identificación de huellas dactilares, fabricada para las Surface Pro 8 y X. Los sensores de huellas dactilares específicos fueron fabricados por Goodix, Synaptics y ELAN.
Después de aproximadamente tres meses de investigación, Blackwell descubrió una vulnerabilidad en Windows Hello.
Todos los sensores de huellas dactilares compatibles con Windows Hello que probamos utilizaban hardware basado en chip, lo que significa que la autenticación se manejaba en el propio sensor, que tiene su propio chip y almacenamiento.
En su declaración, Blackwell afirmó que la base de datos de "patrones de huellas dactilares" (datos biométricos capturados por el sensor de huellas dactilares) se almacena en el chip , y que el registro y la comparación se realizan directamente en él. Dado que los patrones de huellas dactilares nunca salen del chip, se eliminan las preocupaciones sobre la privacidad, ya que los datos biométricos se almacenan de forma segura. Esto también previene ataques que implican el envío de imágenes de huellas dactilares válidas a un servidor para su comparación.
Sin embargo, Blackwell eludió el sistema mediante ingeniería inversa para encontrar una vulnerabilidad en el sensor de huellas dactilares. Posteriormente, creó un dispositivo USB independiente para llevar a cabo un ataque de intermediario (MitM). Este dispositivo permitió al grupo eludir el hardware de autenticación de huellas dactilares de dichos dispositivos.
Según Blackwell, aunque Microsoft utiliza el Protocolo de Conexión de Dispositivos Seguros (SDCP) para proporcionar un canal seguro entre el servidor y el dispositivo biométrico, dos de los tres sensores de huellas dactilares analizados ni siquiera tenían SDCP habilitado. Blackwell recomienda que todas las empresas de sensores de huellas dactilares no solo habiliten SDCP en sus productos, sino que también contraten a una empresa externa para garantizar su funcionamiento.
Cabe destacar que Blackwell dedicó aproximadamente tres meses a intentar superar estos productos de hardware de huellas dactilares. Aún no está claro cómo Microsoft y otras empresas de sensores de huellas dactilares abordarán el problema basándose en esta investigación.
[anuncio_2]
Enlace de origen
![[Foto] El primer ministro Pham Minh Chinh mantiene una conversación telefónica con el director ejecutivo de la Corporación Rosatom de Rusia.](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F12%2F11%2F1765464552365_dsc-5295-jpg.webp&w=3840&q=75)
Kommentar (0)