نقص امنیتی امکان دسترسی به کامپیوتر بدون اثر انگشت را فراهم می‌کند

طبق گزارش Neowin ، تیم Blackwell Intelligence یافته‌های خود را اکتبر گذشته در کنفرانس امنیتی BlueHat مایکروسافت فاش کرد، اما نتایج را این هفته در وب‌سایت خود منتشر کرد. در این پست وبلاگی با عنوان "A Touch of Pwn" آمده است که این تیم از حسگرهای اثر انگشت در داخل لپ‌تاپ‌های Dell Inspiron 15 و Lenovo ThinkPad T14 به همراه کاور تایپ Microsoft Surface Pro با شناسه اثر انگشت که برای Surface Pro 8 و X تولید شده است، استفاده کرده است. حسگرهای اثر انگشت خاص توسط Goodix، Synaptics و ELAN تولید شده‌اند.

Lỗ hổng bảo mật cho phép truy cập PC không cần dấu vân tay - Ảnh 1. — حدود سه ماه طول کشید تا بلک‌ول با تحقیق و بررسی، یک آسیب‌پذیری در ویندوز هلو کشف کند.

تمام حسگرهای اثر انگشتی که از Windows Hello پشتیبانی می‌کنند و ما آزمایش کردیم، از سخت‌افزار مبتنی بر تراشه استفاده می‌کردند، به این معنی که احراز هویت روی خود حسگر انجام می‌شد که تراشه و حافظه مخصوص به خود را دارد.

بلک‌ول در بیانیه خود گفت که پایگاه داده «الگوهای اثر انگشت» (داده‌های بیومتریک ثبت‌شده توسط حسگر اثر انگشت) روی تراشه ذخیره می‌شود و ثبت و تطبیق مستقیماً روی تراشه انجام می‌شود. از آنجایی که الگوهای اثر انگشت هرگز تراشه را ترک نمی‌کنند، این امر نگرانی‌های مربوط به حریم خصوصی را از بین می‌برد زیرا داده‌های بیومتریک به طور ایمن ذخیره می‌شوند. این امر همچنین از حملاتی که شامل ارسال تصاویر معتبر اثر انگشت به سرور برای تطبیق هستند، جلوگیری می‌کند.

با این وجود، بلک‌ول با استفاده از مهندسی معکوس برای یافتن آسیب‌پذیری در حسگر اثر انگشت، سیستم را دور زد و سپس یک دستگاه USB جداگانه برای انجام حمله مرد میانی (MitM) ایجاد کرد. این دستگاه به گروه اجازه داد تا سخت‌افزار احراز هویت اثر انگشت را در آن دستگاه‌ها دور بزند.

طبق گفته بلک‌ول، اگرچه مایکروسافت از پروتکل اتصال امن دستگاه (SDCP) برای ایجاد یک کانال امن بین سرور و دستگاه بیومتریک استفاده می‌کند، از هر سه حسگر اثر انگشت آزمایش‌شده، دو حسگر حتی SDCP را فعال نکرده بودند. بلک‌ول توصیه می‌کند که همه شرکت‌های حسگر اثر انگشت نه تنها SDCP را روی محصولات خود فعال کنند، بلکه یک شرکت شخص ثالث نیز از عملکرد آن اطمینان حاصل کند.

شایان ذکر است که بلک‌ول حدود سه ماه تلاش کرد تا از این محصولات سخت‌افزاری اثر انگشت پیشی بگیرد. هنوز مشخص نیست که مایکروسافت و دیگر شرکت‌های تولیدکننده حسگر اثر انگشت چگونه بر اساس این تحقیق، این مشکل را حل خواهند کرد.

لینک منبع