Microsoft i drugi tehnološki divovi potiču opći zaokret prema biometriji – koja se općenito smatra sigurnijom od tipičnih lozinki. Međutim, istraživanja su opetovano pokazala da biometrija nije sigurna, a nedavna studija pokazuje kako jedna slaba karika u složenom proizvodnom lancu može ugroziti cijeli sigurnosni sustav.
Obavještajna tvrtka nedavno je počela dijeliti dokaze koncepta za zaobilaženje Windows Hello autentifikacije otiska prsta na nekim od najpopularnijih prijenosnih računala. U svakom slučaju, primarni nedostatak bila je komunikacija između čitača otiska prsta i ostatka sustava.
Microsoft je zatražio od istraživača u Blackwing Intelligenceu da provale Windows Hello implementacije u tri vodeća modela prijenosnih računala sa senzorima otisaka prstiju koristeći ovu značajku: Dell Inspiron 15, Lenovo ThinkPad T14 i pričvrstiva tipkovnica sa senzorom otiska prsta za Microsoft Surface Pro. Blackwing je uspješno kompromitirao sva tri korištenjem različitih metoda, od kojih nijedna nije uključivala tipične biometrijske metode hakiranja poput korištenja fotografija.
Kako bi spriječili napadače u kopiranju biometrijskih podataka poput otisaka prstiju ili skeniranja lica, autentifikatori tvrtki poput Microsofta i Applea čuvaju informacije na zasebnim čipovima, nedostupnima primarnoj pohrani uređaja. Međutim, ti čipovi i dalje moraju obavijestiti operativni sustav kada prime točan potpis. Taj signal je slaba točka koju su istraživači iskoristili.
Microsoft je osmislio sustav pod nazivom Secure Device Connection Protocol (SDCP) za zaštitu veze između senzora otiska prsta i njihovih host uređaja. Međutim, od proizvoda koje je Blackwing testirao koristio ga je samo Dell Inspiron, a njegova implementacija nije bila savršena.
Slabost tog uređaja je njegova sposobnost dvostrukog pokretanja Windowsa i Linuxa, koji različito certificiraju otiske prstiju. Blackwing je otkrio da napadač može registrirati svoj otisak prsta na Linuxu i usporediti ga s tuđim Windows ID-om, iako je proces složen i zahtijeva dodatni hardver, uključujući Raspberry Pi 4.
Blackwing je nadjačao Thinkpad sličnim pregovorima između Windowsa i Linuxa, ali istraživači su otkrili da Lenovo isporučuje prijenosno računalo s onemogućenim SDCP-om. Umjesto toga, tvrtka koristi prilagođeni sustav koji dekriptira podatke o otisku prsta pomoću ključa na temelju naziva proizvoda i serijskog broja svakog stroja.
Microsoftov Surface Pro dodatak ima posebno slabu sigurnost za svoj senzor otiska prsta. Također ne uključuje SDCP i komunicira čistim tekstom bez dodatnih slojeva provjere autentičnosti. Istraživači su otkrili da mogu lažirati ID pomoću praktički bilo kojeg USB uređaja.
Blackwing planira s vremenom objaviti više detalja o svom istraživanju. Grupa predlaže da proizvođači originalne opreme koji koriste Windows Hello omoguće SDCP i temeljito testiraju svoje implementacije. Međutim, budući da eksploatacije zahtijevaju fizički pristup svakom uređaju, biometrijske prijave ostaju sigurnije od lozinki./bajtbox/
Discussion about this post