سیکیورٹی کی خرابی فنگر پرنٹ کے بغیر پی سی تک رسائی کی اجازت دیتی ہے۔

نیووین کے مطابق، بلیک ویل انٹیلی جنس ٹیم نے گزشتہ اکتوبر میں مائیکروسافٹ کی بلیو ہیٹ سیکیورٹی کانفرنس میں اپنے نتائج کا انکشاف کیا، لیکن صرف اس ہفتے ان کی ویب سائٹ پر نتائج شائع کیے گئے۔ "A Touch of Pwn" کے عنوان سے بلاگ پوسٹ میں بتایا گیا ہے کہ ٹیم نے Dell Inspiron 15 اور Lenovo ThinkPad T14 لیپ ٹاپ کے اندر فنگر پرنٹ سینسر کا استعمال کیا، ساتھ ہی Microsoft Surface Pro Type Cover کے ساتھ فنگر پرنٹ ID کے ساتھ Surface Pro 8 اور X کے لیے تیار کردہ مخصوص فنگر پرنٹ سینسر، گڈ نیپکس، ایس این ایل اے اور ایس این اے کے ذریعے تیار کیے گئے تھے۔

Lỗ hổng bảo mật cho phép truy cập PC không cần dấu vân tay - Ảnh 1. — تقریباً تین ماہ کی تحقیق کے بعد، بلیک ویل نے ونڈوز ہیلو میں ایک کمزوری دریافت کی۔

ونڈوز ہیلو کو سپورٹ کرنے والے تمام فنگر پرنٹ سینسر جن کا ہم نے استعمال شدہ چپ پر مبنی ہارڈویئر کا تجربہ کیا، یعنی تصدیق خود سینسر پر ہینڈل کی گئی، جس کی اپنی چپ اور اسٹوریج ہے۔

اپنے بیان میں، بلیک ویل نے کہا کہ "فنگر پرنٹ پیٹرن" کا ڈیٹا بیس (فنگر پرنٹ سینسر کے ذریعے حاصل کیا گیا بائیو میٹرک ڈیٹا) چپ پر محفوظ کیا جاتا ہے، جس میں رجسٹریشن اور میچنگ براہ راست چپ کے اندر کی جاتی ہے۔ چونکہ فنگر پرنٹ پیٹرن کبھی چپ نہیں چھوڑتے، اس سے رازداری کے خدشات ختم ہوجاتے ہیں کیونکہ بائیو میٹرک ڈیٹا کو محفوظ طریقے سے اسٹور کیا جاتا ہے۔ یہ مماثلت کے لیے سرور کو درست فنگر پرنٹ امیجز بھیجنے والے حملوں کو بھی روکتا ہے۔

اس کے باوجود، بلیک ویل نے فنگر پرنٹ سینسر میں کمزوری تلاش کرنے کے لیے ریورس انجینئرنگ کا استعمال کرتے ہوئے سسٹم کو نظرانداز کیا، پھر مین-ان-دی-مڈل (MitM) حملہ کرنے کے لیے ایک علیحدہ USB آلہ بنایا۔ اس ڈیوائس نے گروپ کو ان آلات میں فنگر پرنٹ کی توثیق کرنے والے ہارڈویئر کو نظرانداز کرنے کی اجازت دی۔

بلیک ویل کے مطابق، اگرچہ مائیکروسافٹ سرور اور بائیو میٹرک ڈیوائس کے درمیان ایک محفوظ چینل فراہم کرنے کے لیے سیکیور ڈیوائس کنکشن پروٹوکول (SDCP) کا استعمال کرتا ہے، لیکن ٹیسٹ کیے گئے تین میں سے دو فنگر پرنٹ سینسرز میں SDCP بھی فعال نہیں تھا۔ بلیک ویل تجویز کرتا ہے کہ تمام فنگر پرنٹ سینسر کمپنیاں نہ صرف اپنی مصنوعات پر SDCP کو فعال کریں بلکہ ایک فریق ثالث کمپنی کو بھی یقینی بنائے کہ یہ کام کرے۔

یہ بات قابل غور ہے کہ بلیک ویل نے ان فنگر پرنٹ ہارڈویئر مصنوعات کو پیچھے چھوڑنے کی کوشش میں تقریباً تین ماہ گزارے۔ یہ ابھی تک واضح نہیں ہے کہ مائیکروسافٹ اور دیگر فنگر پرنٹ سینسر کمپنیاں اس تحقیق کی بنیاد پر اس مسئلے کو کیسے حل کریں گی۔

ماخذ لنک