корисници Windows били су задовољни што су видели уређаје са биометријским системом за потврду идентитета отиска прста modeпостојећи Тоуцх ИД на лаптоповима и рачунарима Apple. Проблем је што ствари не иду тако добро Windows, рањивости се откривају Windows Hello за аутентификацију отиском прста на врхунским лаптоповима.
Истраживачи безбедности су открили да је систем аутентификације отиском прста Windows Hello, присутан на три најпопуларнија лаптопа Windows, не пружа очекивани ниво сигурности. На захтев Мајкрософта, фирма за сајбер безбедност Блацквинг Интеллигенце спровела је тестове пенетрације, откривши да су сва три лаптопа пала на овим тестовима.
Упркос чињеници да је Мицрософт Сурфаце био подвргнут тестовима, показао се као најрањивији од три modeтестирали их, омогућавајући лако заобилажење биометријске аутентификације отиском прста Windows Hello.
Мицрософтов истраживачки тим (МОРСЕ) експлицитно је затражио безбедносну процену за сензоре отиска прста са најбољим перформансама уграђене у лаптопове, али резултати су показали вишеструке рањивости које је тим успешно искористио. Сваки лаптоп, укључујући Делл Инспирон 15 и Леново ТхинкПад Т14, захтевао је различите приступе да се заобиђу постојећи безбедносни протоколи.
Ове рањивости Windows Hello о аутентификацији отиском прста наглашава непрекидну важност побољшања система аутентификације како би се осигурао повећан ниво сигурности.
Цупринс
Рањивости Windows Hello за аутентификацију отиском прста на Делл Инспирон 15
Dell Inspiron 15 представља значајне рањивости Windows Hello за аутентификацију отиском прста. Када је уређај укључен у Windows, прати потпуне безбедносне протоколе, укључујући Secure Device Connection Protocol (SDCP). Ови протоколи врше основне провере, као што је обезбеђивање да хост комуницира са поузданим уређајем и да се подаци о отиску прста не чувају или преносе. Међутим, тим који је тестирао рањивости Windows Hello приметио да је приликом приступа читачу отиска прста у Windows користи СДЦП, приступ Linux не. И добили су идеју.
Покретањем циљног уређаја у Linux и бочна употреба Linux да унесете отисак прста нападача у базу података тако што ћете навести исти ИД као легитимни корисник пријављен преко Windows, тим је идентификовао рањивост. Иако је овај покушај у почетку био неуспешан, пошто су откривене засебне базе података на чипу за Windows си Linux, било је могуће утврдити како Windows знао којој бази података да приступи и могао је да је усмери на ону на Linux.
Ово је отворило пут за следеће решење, које укључује напад Man in the Middle (MitM). Ево корака ове рањивости Windows Hello при аутентификацији отиском прста укључено Dell Inspiron 15.
1. Систем је укључен Linux.
2. Наведени су важећи ИД-ови. Дакле, одређују се они који могу бити овлашћени.
3. Врши се регистрација отиска прста нападача користећи исти ИД као легитимни корисник Windows.
4. Тип напада Man in the Middle (MitM) на вези између домаћина и сензора.
5. Покрените систем Windows.
6. Пресретање и поновно писање конфигурационог пакета тако да указује на базу података Linux користећи МитМ напад.
7. Аутентификација се врши као легитимни корисник са отиском прста нападача.
Релативно једноставан метод за тип корисника који има просечно знање о архитектури оперативних система Linux и системи Windows.
Што се тиче Мицрософт Сурфаце Про 8 / Кс, рањивост је још лакше искористити.
Рањивост ИД-а отиска прста на поклопцу типа Мицрософт Сурфаце Про
Што се тиче рањивости идентификоване на поклопцу типа Мицрософт Сурфаце Про са ИД-ом отиска прста, истраживачки тим је очекивао да ће званични Мицрософт производ представљати највећи степен тежине, али су били запањени откривши невероватно слабу сигурност. У овом случају, евидентан је недостатак Сецуре Девице Цоннецтион Протоцол (СДЦП), заједно са јасном текстуалном (нешифрованом) УСБ комуникацијом и одсуством аутентификације.
Са овим недостатком сигурности, тим је открио да могу једноставно искључити сензор отиска прста и прикључити свој уређај да га опонаша. Процедура се састојала од искључивања поклопца типа (возач не може да рукује са два повезана сензора, постаје нестабилан), повезивања уређаја за напад, промовисања ВИД/ПИД сензора, посматрања важећег СИД-а од возача Windows, пролазећи чек "how many fingerprints” и покретање аутентификације отиском прста на систему Windows, након чега следи слање Валид Логин Респонсе са лажног уређаја.
У закључку, ове рањивости Windows Hello о аутентификацији отиском прста указао на значајне рањивости које могу постојати у имплементацији система биометријске аутентификације.
Релатед: Како онемогућити аутентификацију помоћу Windows Hello ПИН, лице и отисак прста Windows 10
Шта је Windows Hello?
Први пут представљен са издавањем оперативног система Windows 10 и наставља да пружа побољшану функционалност на десктоп и лаптоп рачунарима Windows 11, Windows Hello је бржи и сигурнији начин да добијете тренутни приступ уређајима Windows.
Овај напредни систем аутентификације вам даје могућност да приступите својим уређајима Windows 11 користећи ПИН код, препознавање лица или отисак прста. Да бисте искористили предности ових опција, потребно је да подесите ПИН код током иницијализације отиска прста или препознавања лица, али такође можете да се аутентификујете само помоћу ПИН-а.
Ове опције не само да значајно олакшавају процес пријављивања на рачунар, већ га чине и сигурнијим, јер је ваш ПИН повезан само са једним уређајем и направљен је резервна копија за опоравак преко вашег Мицрософт налога.
