За даними Neowin , команда Blackwell Intelligence оприлюднила свої висновки минулого жовтня на конференції Microsoft з безпеки BlueHat, але опублікувала результати на своєму вебсайті лише цього тижня. У блозі під назвою «Дотик Pwn» зазначається, що команда використовувала датчики відбитків пальців у ноутбуках Dell Inspiron 15 та Lenovo ThinkPad T14, а також обкладинку Microsoft Surface Pro Type Cover з ідентифікатором відбитків пальців, виготовлену для Surface Pro 8 та X. Конкретні датчики відбитків пальців були виготовлені Goodix, Synaptics та ELAN.
Після приблизно трьох місяців досліджень, Блеквелл виявив вразливість у Windows Hello.
Усі протестовані нами датчики відбитків пальців з підтримкою Windows Hello використовували апаратне забезпечення на основі чіпа, тобто автентифікація здійснювалася на самому датчику, який має власний чіп та пам'ять.
У своїй заяві Blackwell зазначила, що база даних «візерунків відбитків пальців» (біометричних даних, отриманих датчиком відбитків пальців) зберігається на чіпі , а реєстрація та зіставлення виконуються безпосередньо всередині чіпа. Оскільки візерунки відбитків пальців ніколи не залишають чіп, це усуває проблеми конфіденційності, оскільки біометричні дані зберігаються безпечно. Це також запобігає атакам, пов’язаним із надсиланням дійсних зображень відбитків пальців на сервер для зіставлення.
Тим не менш, Blackwell обійшов систему, використовуючи зворотне проектування, щоб знайти вразливість у датчику відбитків пальців, а потім створив окремий USB-пристрій для здійснення атаки типу «людина посередині» (MitM). Цей пристрій дозволив групі обійти апаратне забезпечення для автентифікації за відбитками пальців у цих пристроях.
За словами Блеквелла, хоча Microsoft використовує протокол Secure Device Connection Protocol (SDCP) для забезпечення безпечного каналу між сервером і біометричним пристроєм, два з трьох протестованих датчиків відбитків пальців навіть не мали ввімкненого SDCP. Блеквелл рекомендує всім компаніям, що виробляють датчики відбитків пальців, не лише вмикати SDCP у своїх продуктах, але й залучати сторонню компанію для забезпечення його роботи.
Варто зазначити, що Blackwell витратила близько трьох місяців, намагаючись перевершити ці апаратні продукти для сканерів відбитків пальців. Залишається незрозумілим, як Microsoft та інші компанії, що виробляють датчики відбитків пальців, вирішать цю проблему, виходячи з цього дослідження.
Посилання на джерело
Коментар (0)