Neowin'e göre, Blackwell Intelligence ekibi bulgularını geçen Ekim ayında Microsoft'un BlueHat güvenlik konferansında açıkladı, ancak sonuçları web sitelerinde ancak bu hafta yayınladı. "A Touch of Pwn" başlıklı blog yazısında, ekibin Dell Inspiron 15 ve Lenovo ThinkPad T14 dizüstü bilgisayarlarının yanı sıra Surface Pro 8 ve X için üretilen parmak izi kimlikli Microsoft Surface Pro Type Cover'ın içindeki parmak izi sensörlerini kullandığı belirtiliyor. Söz konusu parmak izi sensörleri Goodix, Synaptics ve ELAN tarafından üretilmiştir.
Yaklaşık üç aylık bir araştırmanın ardından Blackwell, Windows Hello'da bir güvenlik açığı keşfetti.
Test ettiğimiz ve Windows Hello'yu destekleyen tüm parmak izi sensörleri, çip tabanlı donanım kullanıyordu; yani kimlik doğrulama, kendi çipi ve depolama alanına sahip olan sensörün kendisinde gerçekleştiriliyordu.
Blackwell yaptığı açıklamada, "parmak izi desenleri" (parmak izi sensörü tarafından yakalanan biyometrik veriler) veritabanının çip üzerinde saklandığını ve kayıt ve eşleştirme işlemlerinin doğrudan çip içinde gerçekleştirildiğini belirtti. Parmak izi desenleri asla çipten ayrılmadığı için, biyometrik veriler güvenli bir şekilde saklandığından gizlilik endişeleri ortadan kalkıyor. Bu aynı zamanda geçerli parmak izi görüntülerinin eşleştirme için bir sunucuya gönderilmesini içeren saldırıları da önlüyor.
Bununla birlikte, Blackwell, parmak izi sensöründeki bir güvenlik açığını bulmak için tersine mühendislik kullanarak sistemi atlattı ve ardından bir "ortadaki adam" (MitM) saldırısı gerçekleştirmek için ayrı bir USB cihazı oluşturdu. Bu cihaz, grubun söz konusu cihazlardaki parmak izi kimlik doğrulama donanımını atlamasına olanak sağladı.
Blackwell'e göre, Microsoft sunucu ile biyometrik cihaz arasında güvenli bir kanal sağlamak için Güvenli Cihaz Bağlantı Protokolü (SDCP) kullanmasına rağmen, test edilen üç parmak izi sensöründen ikisinde SDCP etkinleştirilmemişti. Blackwell, tüm parmak izi sensörü şirketlerinin ürünlerinde SDCP'yi etkinleştirmelerinin yanı sıra, üçüncü bir şirket tarafından da çalışır durumda olduğundan emin olmalarını önermektedir.
Blackwell'in bu parmak izi donanım ürünlerini geride bırakmak için yaklaşık üç ay harcadığını belirtmekte fayda var. Microsoft ve diğer parmak izi sensörü şirketlerinin bu araştırmaya dayanarak sorunu nasıl ele alacağı ise henüz belirsizliğini koruyor.
[reklam_2]
Kaynak bağlantısı
![[Video] Dong Ho halk resim sanatı, UNESCO tarafından Acil Koruma Altına Alınması Gereken El Sanatları Listesi'ne dahil edildi.](https://vphoto.vietnam.vn/thumb/402x226/vietnam/resource/IMAGE/2025/12/10/1765350246533_tranh-dong-ho-734-jpg.webp)
Yorum (0)