Segundo o Neowin , a equipe da Blackwell Intelligence revelou suas descobertas em outubro passado na conferência de segurança BlueHat da Microsoft, mas só publicou os resultados em seu site esta semana. A postagem no blog, intitulada "A Touch of Pwn" (Um Toque de Dano), afirma que a equipe usou sensores de impressão digital dentro dos laptops Dell Inspiron 15 e Lenovo ThinkPad T14, juntamente com a capa com teclado Microsoft Surface Pro Type Cover com leitor de impressões digitais fabricada para o Surface Pro 8 e X. Os sensores de impressão digital específicos foram fabricados pela Goodix, Synaptics e ELAN.
Após cerca de três meses de pesquisa, Blackwell descobriu uma vulnerabilidade no Windows Hello.
Todos os sensores de impressão digital compatíveis com o Windows Hello que testamos utilizavam hardware baseado em chip, o que significa que a autenticação era feita no próprio sensor, que possui seu próprio chip e armazenamento.
Em seu comunicado, a Blackwell afirmou que o banco de dados de "padrões de impressões digitais" (dados biométricos capturados pelo sensor de impressões digitais) é armazenado no chip , com o registro e a comparação sendo realizados diretamente dentro do chip. Como os padrões de impressões digitais nunca saem do chip, isso elimina as preocupações com a privacidade, já que os dados biométricos são armazenados com segurança. Isso também impede ataques que envolvam o envio de imagens válidas de impressões digitais para um servidor para comparação.
No entanto, Blackwell contornou o sistema usando engenharia reversa para encontrar uma vulnerabilidade no sensor de impressões digitais e, em seguida, criou um dispositivo USB separado para realizar um ataque do tipo "homem no meio" (MitM). Esse dispositivo permitiu que o grupo burlasse o hardware de autenticação por impressão digital nesses dispositivos.
Segundo Blackwell, embora a Microsoft utilize o Protocolo de Conexão Segura de Dispositivos (SDCP) para fornecer um canal seguro entre o servidor e o dispositivo biométrico, dois dos três sensores de impressão digital testados sequer tinham o SDCP habilitado. Blackwell recomenda que todas as empresas de sensores de impressão digital não apenas habilitem o SDCP em seus produtos, mas também contratem uma empresa terceirizada para garantir seu funcionamento.
Vale ressaltar que a Blackwell passou cerca de três meses tentando superar esses produtos de hardware de impressão digital. Ainda não está claro como a Microsoft e outras empresas de sensores de impressão digital abordarão a questão com base nesta pesquisa.
Link da fonte
![[Foto] Cerimônia de encerramento da 10ª Sessão da 15ª Assembleia Nacional](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F12%2F11%2F1765448959967_image-1437-jpg.webp&w=3840&q=75)
![[Foto] O primeiro-ministro Pham Minh Chinh conversa por telefone com o CEO da corporação russa Rosatom.](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F12%2F11%2F1765464552365_dsc-5295-jpg.webp&w=3840&q=75)
Comentário (0)