Volgens Neowin onthulde het Blackwell Intelligence-team hun bevindingen afgelopen oktober tijdens Microsofts BlueHat-beveiligingsconferentie, maar publiceerden ze de resultaten pas deze week op hun website. In de blogpost, getiteld "A Touch of Pwn", staat dat het team vingerafdruksensoren gebruikte in de Dell Inspiron 15 en Lenovo ThinkPad T14 laptops, evenals in de Microsoft Surface Pro Type Cover met vingerafdruk-ID die is geproduceerd voor de Surface Pro 8 en X. De specifieke vingerafdruksensoren werden geproduceerd door Goodix, Synaptics en ELAN.
Na ongeveer drie maanden onderzoek ontdekte Blackwell een kwetsbaarheid in Windows Hello.
Alle vingerafdruksensoren die Windows Hello ondersteunen en die we hebben getest, maken gebruik van chipgebaseerde hardware. Dit betekent dat de authenticatie door de sensor zelf wordt afgehandeld, die over een eigen chip en geheugen beschikt.
In een verklaring stelde Blackwell dat de database met "vingerafdrukpatronen" (biometrische gegevens vastgelegd door de vingerafdruksensor) op de chip is opgeslagen, waarbij registratie en vergelijking direct binnen de chip plaatsvinden. Omdat vingerafdrukpatronen de chip nooit verlaten, zijn er geen zorgen over de privacy, aangezien de biometrische gegevens veilig worden opgeslagen. Dit voorkomt ook aanvallen waarbij geldige vingerafdrukken naar een server worden gestuurd voor vergelijking.
Desondanks wist Blackwell het systeem te omzeilen door middel van reverse engineering, waarbij hij een kwetsbaarheid in de vingerafdruksensor ontdekte. Vervolgens creëerde hij een apart USB-apparaat om een man-in-the-middle (MitM)-aanval uit te voeren. Met dit apparaat kon de groep de hardware voor vingerafdrukauthenticatie in die apparaten omzeilen.
Volgens Blackwell gebruikt Microsoft weliswaar het Secure Device Connection Protocol (SDCP) om een beveiligd kanaal tussen de server en het biometrische apparaat te creëren, maar bij twee van de drie geteste vingerafdruksensoren was SDCP niet eens ingeschakeld. Blackwell adviseert alle fabrikanten van vingerafdruksensoren om SDCP niet alleen op hun producten in te schakelen, maar ook een externe partij te laten controleren of het correct werkt.
Het is belangrijk om te vermelden dat Blackwell ongeveer drie maanden heeft besteed aan pogingen om deze vingerafdrukhardwareproducten te overtreffen. Het is nog onduidelijk hoe Microsoft en andere fabrikanten van vingerafdruksensoren op basis van dit onderzoek op dit probleem zullen reageren.
Bronlink
![[OFFICIEEL] MISA GROUP KONDIGT HAAR BAANBREKENDE MERKPOSITIONERING AAN IN HET ONTWIKKELEN VAN AGENTISCHE AI VOOR BEDRIJVEN, HUISHOUDENS EN DE OVERHEID](https://vphoto.vietnam.vn/thumb/402x226/vietnam/resource/IMAGE/2025/12/11/1765444754256_agentic-ai_postfb-scaled.png)
Reactie (0)