កំហុសសុវត្ថិភាពអនុញ្ញាតឱ្យចូលប្រើកុំព្យូទ័រដោយគ្មានស្នាមម្រាមដៃ

យោងតាមលោក Neowin ក្រុម Blackwell Intelligence បានបង្ហាញការរកឃើញរបស់ពួកគេនៅក្នុងខែតុលាក្នុងអំឡុងពេលសន្និសីទសន្តិសុខ BlueHat របស់ក្រុមហ៊ុន Microsoft ប៉ុន្តែពួកគេគ្រាន់តែបង្ហោះលទ្ធផលនៅលើគេហទំព័ររបស់ពួកគេក្នុងសប្តាហ៍នេះប៉ុណ្ណោះ។ ការបង្ហោះប្លក់ដែលមានចំណងជើងថា "A Touch of Pwn" បាននិយាយថា ក្រុមការងារបានប្រើឧបករណ៍ចាប់ស្នាមម្រាមដៃនៅខាងក្នុងកុំព្យូទ័រយួរដៃ Dell Inspiron 15 និង Lenovo ThinkPad T14 ក៏ដូចជា Microsoft Surface Pro Type Covers with Fingerprint ID ដែលផលិតសម្រាប់ Surface Pro 8 និង X ។ ឧបករណ៍ចាប់សញ្ញាស្នាមម្រាមដៃជាក់លាក់ត្រូវបានផលិតដោយ Goodix, Synaptics និង ELAN ។

Lỗ hổng bảo mật cho phép truy cập PC không cần dấu vân tay - Ảnh 1. — វាបានចំណាយពេលប្រហែលបីខែនៃការស្រាវជ្រាវ Blackwell ដើម្បីស្វែងរកភាពងាយរងគ្រោះនៅក្នុង Windows Hello ។

ឧបករណ៍ចាប់សញ្ញាស្នាមម្រាមដៃដែលបើកដំណើរការ Windows Hello ទាំងអស់ដែលយើងបានសាកល្បងប្រើផ្នែករឹងដែលមានមូលដ្ឋានលើបន្ទះឈីប មានន័យថាការផ្ទៀងផ្ទាត់ត្រូវបានគ្រប់គ្រងលើឧបករណ៍ចាប់សញ្ញាខ្លួនឯងដែលមានបន្ទះឈីប និងកន្លែងផ្ទុករបស់វា។

នៅក្នុងសេចក្តីថ្លែងការណ៍របស់គាត់ Blackwell បាននិយាយថា មូលដ្ឋានទិន្នន័យនៃ "គំរូស្នាមម្រាមដៃ" (ទិន្នន័យជីវមាត្រដែលចាប់យកដោយឧបករណ៍ចាប់សញ្ញាស្នាមម្រាមដៃ) ត្រូវបានរក្សាទុកនៅលើ បន្ទះឈីប ហើយការចុះឈ្មោះ និងការផ្គូផ្គងត្រូវបានធ្វើឡើងដោយផ្ទាល់នៅលើបន្ទះឈីប។ ដោយសារគំរូស្នាមម្រាមដៃមិនដែលចាកចេញពីបន្ទះឈីប នេះលុបបំបាត់ការព្រួយបារម្ភអំពីឯកជនភាព ដោយសារទិន្នន័យជីវមាត្រត្រូវបានរក្សាទុកដោយសុវត្ថិភាព។ នេះក៏ការពារការវាយប្រហារដែលពាក់ព័ន្ធនឹងការផ្ញើរូបភាពស្នាមម្រាមដៃដែលមានសុពលភាពទៅកាន់ម៉ាស៊ីនមេសម្រាប់ការផ្គូផ្គង។

ទោះជាយ៉ាងណាក៏ដោយ Blackwell នៅតែគ្រប់គ្រងដើម្បីចៀសវៀងប្រព័ន្ធបន្ទាប់ពីប្រើវិស្វកម្មបញ្ច្រាសដើម្បីស្វែងរកភាពងាយរងគ្រោះនៅក្នុងឧបករណ៍ចាប់សញ្ញាស្នាមម្រាមដៃ បន្ទាប់មកបង្កើតឧបករណ៍ USB ផ្ទាល់ខ្លួនរបស់គាត់ដែលអាចធ្វើការវាយប្រហារដោយមនុស្សនៅកណ្តាល (MitM) ។ ឧបករណ៍នេះបានអនុញ្ញាតឱ្យក្រុមឆ្លងកាត់ផ្នែករឹងនៃការផ្ទៀងផ្ទាត់ស្នាមម្រាមដៃនៅក្នុងឧបករណ៍ទាំងនោះ។

យោងតាមក្រុមហ៊ុន Blackwell ទោះបីជាក្រុមហ៊ុន Microsoft ប្រើប្រាស់ Secure Device Connection Protocol (SDCP) ដើម្បីផ្តល់នូវបណ្តាញសុវត្ថិភាពរវាងម៉ាស៊ីនមេ និងឧបករណ៍ជីវមាត្រក៏ដោយ ឧបករណ៍ចាប់សញ្ញាស្នាមម្រាមដៃពីរក្នុងចំណោមឧបករណ៍ចាប់សញ្ញាស្នាមម្រាមដៃទាំងបីដែលបានសាកល្បងមិនមានសូម្បីតែ SDCP ក៏ដោយ។ Blackwell ផ្តល់អនុសាសន៍ថាក្រុមហ៊ុនឧបករណ៍ចាប់សញ្ញាស្នាមម្រាមដៃទាំងអស់មិនត្រឹមតែអាចដំណើរការ SDCP នៅលើផលិតផលរបស់ពួកគេប៉ុណ្ណោះទេ ប៉ុន្តែក៏មានក្រុមហ៊ុនភាគីទីបីធានាថាវាដំណើរការផងដែរ។

រឿងមួយដែលត្រូវកត់សម្គាល់គឺថា Blackwell បានចំណាយពេលប្រហែល 3 ខែដើម្បីព្យាយាមឆ្លងកាត់ផលិតផលផ្នែករឹងស្នាមម្រាមដៃទាំងនេះ។ វាមិនច្បាស់ថាតើក្រុមហ៊ុន Microsoft និងក្រុមហ៊ុនឧបករណ៍ចាប់សញ្ញាស្នាមម្រាមដៃផ្សេងទៀតនឹងដោះស្រាយបញ្ហាដោយរបៀបណាដោយផ្អែកលើការស្រាវជ្រាវនេះ។

ប្រភពតំណ