Naukowcom udało się ominąć uwierzytelnianie odcisków palców Windows Hello firmy Microsoft

Grupa bezpieczeństwa zatrudniona przez firmę Microsoft do testowania sprzętu i oprogramowania do uwierzytelniania odcisków palców Windows Hello opublikowała informację, że udało jej się ominąć tę technologię w wielu laptopach, w tym w produkcie Microsoft Surface.

Grupa Blackwell Intelligence ujawniła swoje ustalenia w październiku w ramach konferencji poświęconej bezpieczeństwu BlueHat firmy Microsoft, ale opublikowała swoje wyniki dopiero w tym tygodniu (za pośrednictwem The Verge< i=2>). W poście na blogu o chwytliwym tytule „Dotyk Pwn” stwierdzono, że grupa użyła czujników linii papilarnych w komputerach Dell Inspiron 15 i Lenovo ThinkPad Laptopy T14 wraz z klawiaturą Type Cover Microsoft Surface Pro z czytnikiem linii papilarnych stworzoną dla tabletów Surface Pro 8 i X. Konkretne czujniki odcisków palców zostały wyprodukowane przez Goodix, Synaptics i ELAN.

Wszystkie przetestowane czujniki linii papilarnych obsługujące funkcję Windows Hello korzystały ze sprzętu typu „dopasuj na chipie”, co oznacza, że ​​uwierzytelnianie odbywa się na samym czujniku, który ma własny mikroprocesor i pamięć. Blackwell stwierdził:

Baza danych „wzorców odcisków palców” (dane biometryczne uzyskane przez czujnik odcisków palców) jest przechowywana w chipie, a rejestracja i dopasowywanie odbywa się bezpośrednio w chipie. Ponieważ szablony odcisków palców nigdy nie opuszczają chipa, eliminuje to obawy dotyczące prywatności wynikające z przechowywania i potencjalnej ekstrakcji materiału biometrycznego z hosta – nawet jeśli host zostanie naruszony. Takie podejście zapobiega również atakom polegającym po prostu na wysyłaniu obrazów prawidłowych odcisków palców do hosta w celu dopasowania.

Firma Blackwell wykorzystała inżynierię wsteczną, aby znaleźć wady czujników linii papilarnych, a następnie stworzyła własne urządzenie USB, które mogło przeprowadzić atak typu man-in-the-middle (MitM). To urządzenie pozwoliło im ominąć sprzęt do uwierzytelniania odcisków palców w tych urządzeniach.

Na blogu wskazano również, że chociaż Microsoft korzysta z protokołu Secure Device Connection Protocol (SDCP) „w celu zapewnienia bezpiecznego kanału między hostem a urządzeniami biometrycznymi”, dwa z trzech przetestowanych czujników linii papilarnych nie miały nawet włączonego protokołu SDCP. Firma Blackwell zaleciła, aby wszyscy producenci czujników odcisków palców nie tylko włączyli SDCP w swoich produktach, ale także zlecili firmie zewnętrznej sprawdzenie, czy to działa.

Należy podkreślić, że obejście tych produktów sprzętowych obsługujących odciski palców zajęło firmie Blackwell „około trzech miesięcy” i wymagało wiele wysiłku, ale najważniejsze, że zakończyło się sukcesem. Czas pokaże, czy Microsoft lub firmy produkujące czujniki odcisków palców będą w stanie wykorzystać te badania do rozwiązania tych problemów.