A Neowin szerint a Blackwell Intelligence csapata októberben, a Microsoft BlueHat biztonsági konferenciáján hozta nyilvánosságra megállapításait, de csak ezen a héten tették közzé az eredményeket saját weboldalukon. A „A Touch of Pwn” című blogbejegyzés szerint a csapat ujjlenyomat-érzékelőket használt Dell Inspiron 15 és Lenovo ThinkPad T14 laptopokban, valamint ujjlenyomat-azonosítóval ellátott Microsoft Surface Pro Type Covereket a Surface Pro 8 és X készülékekhez. A konkrét ujjlenyomat-érzékelőket a Goodix, a Synaptics és az ELAN gyártotta.
A Blackwellnek körülbelül három hónapnyi kutatásra volt szüksége, hogy felfedezzen egy sebezhetőséget a Windows Hello-ban.
Az általunk tesztelt összes Windows Hello-képes ujjlenyomat-érzékelő chip alapú hardvert használ, ami azt jelenti, hogy a hitelesítést maga az érzékelő végzi, amelynek saját chipje és tárolója van.
Blackwell nyilatkozatában elmondta, hogy az „ujjlenyomat-sablonok” (az ujjlenyomat-érzékelő által rögzített biometrikus adatok) adatbázisa a chipen tárolódik, a regisztráció és az egyeztetés pedig közvetlenül a chipen történik. Mivel az ujjlenyomat-sablonok soha nem hagyják el a chipet, ez kiküszöböli az adatvédelmi aggályokat, mivel a biometrikus adatok biztonságosan tárolódnak. Ez megakadályozza azokat a támadásokat is, amelyek érvényes ujjlenyomat-képek szerverre küldését jelentik egyeztetés céljából.
Blackwellnek azonban mégis sikerült megkerülnie a rendszert, miután visszafejtéssel sebezhetőségeket talált az ujjlenyomat-érzékelőkben, majd létrehozta saját USB-eszközét, amely képes volt közbeékelődéses (MitM) támadást végrehajtani. Ez az eszköz lehetővé tette a csoport számára, hogy megkerülje az eszközök ujjlenyomat-hitelesítési hardverét.
Blackwell szerint bár a Microsoft a Secure Device Connection Protocol (SDCP) protokollt használja a szerver és a biometrikus eszköz közötti biztonságos csatorna biztosítására, a tesztelt három ujjlenyomat-érzékelő közül kettőnél még az SDCP sem volt engedélyezve. A Blackwell azt javasolja, hogy minden ujjlenyomat-érzékelőt gyártó cég ne csak engedélyezze az SDCP-t a termékein, hanem egy harmadik féllel is biztosítsa a működését.
Érdemes megjegyezni, hogy a Blackwell körülbelül három hónapot töltött azzal, hogy megpróbálja túljutni ezeken az ujjlenyomat-hardvertermékeken. A kutatás alapján nem világos, hogy a Microsoft és más ujjlenyomat-érzékelő cégek hogyan fogják megoldani a problémát.
[hirdetés_2]
Forráslink
![[Fotó] Sürgősen segíteni kell az embereknek, hogy hamarosan legyen hol lakniuk és stabilizálják az életüket](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F12%2F09%2F1765248230297_c-jpg.webp&w=3840&q=75)
![[Fotó] To Lam főtitkára a 14. pártkongresszus albizottságainak állandó bizottságaival dolgozik.](https://vphoto.vietnam.vn/thumb/402x226/vietnam/resource/IMAGE/2025/12/09/1765265023554_image.jpeg)
Hozzászólás (0)