Menurut Neowin , tim Blackwell Intelligence mengungkapkan temuan mereka pada bulan Oktober dalam konferensi keamanan BlueHat Microsoft, tetapi mereka baru mempublikasikan hasilnya di situs web mereka sendiri minggu ini. Tulisan blog berjudul "A Touch of Pwn" tersebut menyatakan bahwa tim menggunakan sensor sidik jari di laptop Dell Inspiron 15 dan Lenovo ThinkPad T14, serta Microsoft Surface Pro Type Covers dengan Fingerprint ID yang dibuat untuk Surface Pro 8 dan X. Sensor sidik jari tersebut diproduksi oleh Goodix, Synaptics, dan ELAN.
Blackwell membutuhkan waktu sekitar tiga bulan penelitian untuk menemukan kerentanan di Windows Hello.
Semua sensor sidik jari berkemampuan Windows Hello yang kami uji menggunakan perangkat keras berbasis chip, artinya autentikasi ditangani pada sensor itu sendiri, yang memiliki chip dan penyimpanannya sendiri.
Dalam pernyataannya, Blackwell mengatakan bahwa basis data "templat sidik jari" (data biometrik yang ditangkap oleh sensor sidik jari) disimpan di dalam chip , dan registrasi serta pencocokan dilakukan langsung di dalam chip. Karena templat sidik jari tidak pernah meninggalkan chip, hal ini menghilangkan kekhawatiran privasi karena data biometrik disimpan dengan aman. Hal ini juga mencegah serangan yang melibatkan pengiriman gambar sidik jari yang valid ke server untuk pencocokan.
Namun, Blackwell tetap berhasil melewati sistem tersebut setelah menggunakan rekayasa balik untuk menemukan kerentanan pada sensor sidik jari, lalu menciptakan perangkat USB-nya sendiri yang dapat melakukan serangan man-in-the-middle (MitM). Perangkat ini memungkinkan kelompok tersebut untuk melewati perangkat keras autentikasi sidik jari di perangkat-perangkat tersebut.
Menurut Blackwell, meskipun Microsoft menggunakan Secure Device Connection Protocol (SDCP) untuk menyediakan saluran aman antara server dan perangkat biometrik, dua dari tiga sensor sidik jari yang diuji bahkan tidak mengaktifkan SDCP. Blackwell menyarankan agar semua perusahaan sensor sidik jari tidak hanya mengaktifkan SDCP pada produk mereka, tetapi juga meminta perusahaan pihak ketiga untuk memastikannya berfungsi.
Satu hal yang perlu diperhatikan adalah Blackwell menghabiskan sekitar tiga bulan mencoba mengatasi produk perangkat keras sidik jari ini. Berdasarkan penelitian ini, belum jelas bagaimana Microsoft dan perusahaan sensor sidik jari lainnya akan mengatasi masalah tersebut.
[iklan_2]
Tautan sumber
Komentar (0)