सुरक्षा खामी के कारण बिना फिंगरप्रिंट के पीसी तक पहुंच संभव

[विज्ञापन_1]

नियोविन के अनुसार, ब्लैकवेल इंटेलिजेंस टीम ने अक्टूबर में माइक्रोसॉफ्ट के ब्लूहैट सुरक्षा सम्मेलन के दौरान अपने निष्कर्षों का खुलासा किया था, लेकिन उन्होंने इस हफ़्ते ही अपनी वेबसाइट पर नतीजे पोस्ट किए। "ए टच ऑफ़ प्वॉन" शीर्षक वाले ब्लॉग पोस्ट में कहा गया है कि टीम ने डेल इंस्पिरॉन 15 और लेनोवो थिंकपैड T14 लैपटॉप के साथ-साथ सरफेस प्रो 8 और X के लिए बनाए गए फिंगरप्रिंट आईडी वाले माइक्रोसॉफ्ट सरफेस प्रो टाइप कवर में फिंगरप्रिंट सेंसर का इस्तेमाल किया। ये विशिष्ट फिंगरप्रिंट सेंसर गुडिक्स, सिनैप्टिक्स और ELAN द्वारा निर्मित किए गए थे।

Lỗ hổng bảo mật cho phép truy cập PC không cần dấu vân tay - Ảnh 1. — विंडोज़ हैलो में कमजोरी का पता लगाने के लिए ब्लैकवेल को लगभग तीन महीने का शोध करना पड़ा।

हमने जिन विंडोज हैलो-सक्षम फिंगरप्रिंट सेंसरों का परीक्षण किया है, वे सभी चिप-आधारित हार्डवेयर का उपयोग करते हैं, जिसका अर्थ है कि प्रमाणीकरण सेंसर पर ही किया जाता है, जिसकी अपनी चिप और स्टोरेज होती है।

अपने बयान में, ब्लैकवेल ने कहा कि "फिंगरप्रिंट टेम्प्लेट्स" (फिंगरप्रिंट सेंसर द्वारा कैप्चर किया गया बायोमेट्रिक डेटा) का डेटाबेस चिप पर संग्रहीत होता है, और पंजीकरण और मिलान सीधे चिप पर ही किया जाता है। चूँकि फिंगरप्रिंट टेम्प्लेट्स कभी चिप से बाहर नहीं निकलते, इसलिए बायोमेट्रिक डेटा सुरक्षित रूप से संग्रहीत होने के कारण गोपनीयता संबंधी चिंताएँ समाप्त हो जाती हैं। इससे उन हमलों को भी रोका जा सकता है जिनमें मिलान के लिए सर्वर पर वैध फिंगरप्रिंट इमेज भेजना शामिल होता है।

हालाँकि, ब्लैकवेल ने फ़िंगरप्रिंट सेंसर में कमज़ोरियों का पता लगाने के लिए रिवर्स इंजीनियरिंग का इस्तेमाल किया और फिर अपना खुद का USB डिवाइस बनाया जो मैन-इन-द-मिडल (MitM) हमला कर सकता था, फिर भी सिस्टम को बायपास करने में कामयाब रहा। इस डिवाइस की मदद से समूह उन डिवाइसों में फ़िंगरप्रिंट प्रमाणीकरण हार्डवेयर को बायपास कर पाया।

ब्लैकवेल के अनुसार, हालाँकि माइक्रोसॉफ्ट सर्वर और बायोमेट्रिक डिवाइस के बीच एक सुरक्षित चैनल प्रदान करने के लिए सिक्योर डिवाइस कनेक्शन प्रोटोकॉल (SDCP) का उपयोग करता है, फिर भी परीक्षण किए गए तीन में से दो फिंगरप्रिंट सेंसर में SDCP सक्षम नहीं था। ब्लैकवेल की सिफारिश है कि सभी फिंगरप्रिंट सेंसर कंपनियां न केवल अपने उत्पादों पर SDCP सक्षम करें, बल्कि किसी तृतीय-पक्ष कंपनी से यह भी सुनिश्चित करवाएँ कि यह काम करता है।

ध्यान देने वाली बात यह है कि ब्लैकवेल ने इन फ़िंगरप्रिंट हार्डवेयर उत्पादों से निपटने में लगभग तीन महीने लगा दिए। यह स्पष्ट नहीं है कि माइक्रोसॉफ्ट और अन्य फ़िंगरप्रिंट सेंसर कंपनियां इस शोध के आधार पर इस समस्या का समाधान कैसे करेंगी।

[विज्ञापन_2]
स्रोत लिंक