Secondo Neowin , il team di Blackwell Intelligence ha rivelato le proprie scoperte lo scorso ottobre alla conferenza sulla sicurezza BlueHat di Microsoft, ma ha pubblicato i risultati sul proprio sito web solo questa settimana. Il post sul blog, intitolato "A Touch of Pwn", afferma che il team ha utilizzato sensori di impronte digitali all'interno dei laptop Dell Inspiron 15 e Lenovo ThinkPad T14, insieme alla Microsoft Surface Pro Type Cover con ID di impronte digitali prodotta per Surface Pro 8 e X. I sensori di impronte digitali specifici sono stati prodotti da Goodix, Synaptics ed ELAN.
Dopo circa tre mesi di ricerche, Blackwell ha scoperto una vulnerabilità in Windows Hello.
Tutti i sensori di impronte digitali compatibili con Windows Hello che abbiamo testato utilizzavano hardware basato su chip, il che significa che l'autenticazione veniva gestita sul sensore stesso, che dispone di un proprio chip e di una propria memoria.
Nella sua dichiarazione, Blackwell ha affermato che il database dei "modelli di impronte digitali" (dati biometrici acquisiti dal sensore di impronte digitali) è memorizzato sul chip , con la registrazione e la corrispondenza eseguite direttamente all'interno del chip stesso. Poiché i modelli di impronte digitali non lasciano mai il chip, ciò elimina i problemi di privacy, in quanto i dati biometrici sono archiviati in modo sicuro. Questo previene anche attacchi che prevedono l'invio di immagini di impronte digitali valide a un server per la corrispondenza.
Ciononostante, Blackwell ha aggirato il sistema utilizzando l'ingegneria inversa per trovare una vulnerabilità nel sensore di impronte digitali, quindi ha creato un dispositivo USB separato per eseguire un attacco man-in-the-middle (MitM). Questo dispositivo ha permesso al gruppo di aggirare l'hardware di autenticazione tramite impronte digitali presente in quei dispositivi.
Secondo Blackwell, sebbene Microsoft utilizzi il Secure Device Connection Protocol (SDCP) per fornire un canale sicuro tra il server e il dispositivo biometrico, due dei tre sensori di impronte digitali testati non avevano nemmeno l'SDCP abilitato. Blackwell raccomanda a tutte le aziende produttrici di sensori di impronte digitali non solo di abilitare l'SDCP sui propri prodotti, ma anche di affidare a una società terza la verifica del suo corretto funzionamento.
Vale la pena notare che Blackwell ha impiegato circa tre mesi per cercare di superare questi prodotti hardware per il riconoscimento delle impronte digitali. Non è ancora chiaro come Microsoft e le altre aziende produttrici di sensori di impronte digitali affronteranno la questione alla luce di questa ricerca.
Link alla fonte
![[Immagine] Il bel tempo aiuta gli studenti ad affrontare l'esame di ammissione al decimo anno con sicurezza.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/05/29/1780034401612_ngay-1-thi-lop-10-minh-duy-8-5009-jpg.webp)
![[Foto] Il faro di Ba Lang An, l'"occhio del mare" nel "museo delle rocce" della provincia di Quang Ngai.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/05/29/1780038698840_anh-man-hinh-2026-05-29-luc-14-10-42.png)
Commento (0)