По данным Neowin , команда Blackwell Intelligence представила свои результаты ещё в октябре на конференции Microsoft по безопасности BlueHat, но опубликовала их на своём сайте только на этой неделе. В публикации в блоге под названием «A Touch of Pwn» говорится, что команда использовала сканеры отпечатков пальцев внутри ноутбуков Dell Inspiron 15 и Lenovo ThinkPad T14, а также чехлы Microsoft Surface Pro Type Cover с функцией распознавания отпечатков пальцев, разработанные для Surface Pro 8 и X. Сканеры отпечатков пальцев были произведены компаниями Goodix, Synaptics и ELAN.
Блэквеллу потребовалось около трех месяцев исследований, чтобы обнаружить уязвимость в Windows Hello.
Все протестированные нами сканеры отпечатков пальцев с поддержкой Windows Hello используют аппаратное обеспечение на базе чипа, то есть аутентификация выполняется на самом датчике, который имеет собственный чип и хранилище.
В своём заявлении Блэквелл отметил, что база данных «шаблонов отпечатков пальцев» (биометрических данных, полученных сканером отпечатков пальцев) хранится на чипе , а регистрация и сопоставление данных производятся непосредственно на чипе. Поскольку шаблоны отпечатков пальцев никогда не покидают чип, это устраняет проблемы с конфиденциальностью, поскольку биометрические данные хранятся в безопасности. Это также предотвращает атаки, связанные с отправкой действительных изображений отпечатков пальцев на сервер для сопоставления.
Однако Блэквеллу всё же удалось обойти систему, проведя обратную разработку и найдя уязвимости в сканерах отпечатков пальцев, а затем создав собственное USB-устройство, способное осуществлять атаку типа «человек посередине» (MitM). Это устройство позволило группировке обойти аппаратную аутентификацию по отпечаткам пальцев в этих устройствах.
По словам Блэквелла, хотя Microsoft использует протокол безопасного подключения устройств (SDCP) для обеспечения безопасного канала между сервером и биометрическим устройством, в двух из трёх протестированных сканеров отпечатков пальцев SDCP вообще не был включён. Блэквелл рекомендует всем производителям сканеров отпечатков пальцев не только включить SDCP в своих продуктах, но и поручить сторонней компании обеспечить его работоспособность.
Стоит отметить, что Блэквелл потратил около трёх месяцев на попытки обойти эти устройства для сканирования отпечатков пальцев. Исходя из этого исследования, неясно, как Microsoft и другие компании, выпускающие сканеры отпечатков пальцев, собираются решить эту проблему.
Ссылка на источник
![[Фото] Срочно помогите людям найти место для проживания и стабилизировать свою жизнь.](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F12%2F09%2F1765248230297_c-jpg.webp&w=3840&q=75)
![[Фото] Генеральный секретарь То Лам работает с постоянными комитетами подкомитетов XIV съезда партии](https://vphoto.vietnam.vn/thumb/402x226/vietnam/resource/IMAGE/2025/12/09/1765265023554_image.jpeg)
Комментарий (0)