Utilizatorii de Windows au fost încântați să vadă device-uri cu sistem de autentificare biometrică pe bază de amprentă (fingerprint), pe modelul Touch ID existent pe laptop-urile și calculatoarele Apple. Problema este că lucrurile nu merg la fel de bine pe Windows, fiind descoperite vulnerabilități Windows Hello la autentificarea fingerprint pe laptopuri de top.
Cercetătorii în securitate au dezvăluit că sistemul de autentificare cu amprentă Windows Hello, prezent pe trei dintre cele mai populare laptopuri Windows, nu oferă nivelul de securitate așteptat. La solicitarea Microsoft, compania de securitate cibernetică Blackwing Intelligence a efectuat teste de penetrare, descoperind că toate cele trei laptopuri au eșuat în fața acestor probe.
În ciuda faptului că Microsoft Surface a fost supus testelor, s-a dovedit că este cel mai vulnerabil dintre cele trei modele testate, permitând ocolirea ușoară a autentificării biometrice fingerprint Windows Hello.
Echipa de cercetare a Microsoft (MORSE) a cerut explicit evaluarea securității pentru cele mai performante senzori de amprentă încorporați în laptopuri, dar rezultatele au arătat multiple vulnerabilități exploatate cu succes de către echipă. Fiecare laptop, inclusiv Dell Inspiron 15 și Lenovo ThinkPad T14, a necesitat abordări distincte pentru a evita protocoalele de securitate existente.
Aceste vulnerabilități Windows Hello la autentificarea fingerprint subliniază importanța continuă a îmbunătățirii sistemelor de autentificare pentru a asigura un nivel crescut de securitate.
Cuprins
Vulnerabilități Windows Hello la autentificarea fingerprint pe Dell Inspiron 15
Dell Inspiron 15 prezintă semnificative vulnerabilități Windows Hello la autentificarea fingerprint. Atunci când dispozitivul este pornit în Windows, acesta urmează protocoalele complete de securitate, inclusiv Secure Device Connection Protocol (SDCP). Aceste protocoale efectuează verificări esențiale, cum ar fi asigurarea că gazda comunică cu un dispozitiv de încredere și că datele amprentei nu sunt stocate sau retransmise. Cu toate acestea, echipa care a testat vulnerabilități Windows Hello a observat că, în timp ce accesul la cititorul de amprente în Windows utilizează SDCP, accesul în Linux nu. Și le-a venit o idee.
Prin inițierea dispozitivului țintă în Linux și utilizarea laturii Linux pentru a introduce amprenta atacatorului în baza de date, specificând același ID ca un utilizator legitim înscris prin Windows, echipa a identificat o vulnerabilitate. Chiar dacă inițial acest demers nu a avut succes, deoarece s-au descoperit baze de date separate pe cip pentru Windows și Linux, s-a reușit să se determine modul în care Windows știa la ce bază de date să acceseze și a reușit să o direcționeze către cea de pe Linux.
Aceasta a deschis calea pentru următoarea soluție, implicând un atac Man in the Middle (MitM). Iată cum arată pașii acestei vulnerabilități Windows Hello la autentificarea fingerprint pe Dell Inspiron 15.
1. Se pornește sistemul pe Linux.
2. Se face listarea ID-urilor valide. Deci se determină cele care pot fi autorizate.
3. Este executată înscrierea amprentei atacatorului folosind același ID ca un utilizator legitim Windows.
4. Atac de tip Man in the Middle (MitM) asupra conexiunii dintre gazdă și senzor.
5. Se pornește sistemul în Windows.
6. Interceptarea și rescrierea pachetului de configurare pentru a se îndrepta către baza de date Linux folosind atacul MitM.
7. Se face autentificarea ca utilizator legitim cu amprenta atacatorului.
O metodă relativ simplă pentru tipul de utilizator care are cunoștințe medii despre arhitectura sistemelor de operare Linux și sistemelor Windows.
În ceea ce privește Microsoft Surface Pro 8 / X, vulnerabilitatea este și mai ușor de exploatat.
Vulnerabilitate Fingerprint ID pe Microsoft Surface Pro Type Cover
În ceea ce privește vulnerabilitatea identificată pe Microsoft Surface Pro Type Cover cu Fingerprint ID, echipa de cercetare s-a așteptat ca un produs oficial Microsoft să prezinte cel mai mare grad de dificultate, însă au fost uluiți să constate o securitate incredibil de slabă. În acest caz, lipsa Protocolului de Conexiune Securizată a Dispozitivului (SDCP) a fost evidentă, alături de comunicarea USB în text clar (necriptat) și absența autentificării.
Cu această absență de securitate, echipa a descoperit că puteau să deconecteze pur și simplu senzorul de amprentă și să conecteze propriul dispozitiv pentru a-l imita. Procedura a constat în deconectarea Type Cover (driver-ul nu poate gestiona doi senzori conectați, devenind instabil), conectarea dispozitivului de atac, promovarea VID/PID a senzorului, observarea SID-ului valid din driverul Windows, trecerea verificării “how many fingerprints” și inițierea autentificării Fingerprint pe sistemul Windows, urmată de trimiterea unui Răspuns Valid de Logare de la dispozitivul falsificat.
În concluzie, aceste vulnerabilități Windows Hello la autentificarea fingerprint au subliniat vulnerabilitățile semnificative care pot exista în implementarea sistemelor biometrice de autentificare.
Related: Cum dezactivam autentificarea cu Windows Hello PIN, Face si Fingerprint in Windows 10
Ce este Windows Hello?
Introdus pentru prima dată odată cu lansarea sistemului de operare Windows 10 și continuând să ofere funcționalități îmbunătățite pe calculatoarele și laptopurile cu sisteme Windows 11, Windows Hello reprezintă o modalitate mai rapidă și mai sigură de a obține acces instant la dispozitivele Windows.
Acest sistem de autentificare avansat îți oferă posibilitatea de a accesa dispozitivele Windows 11 folosind un cod PIN, recunoașterea facială sau amprenta digitală (fingerprint). Pentru a beneficia de aceste opțiuni, este necesar să configurezi un cod PIN în timpul inițializării amprentei digitale sau recunoașterii faciale, însă poți să te autentifici și doar cu ajutorul PIN-ului.
Aceste opțiuni nu doar că facilitează semnificativ procesul de conectare la PC-ul tău, dar și îl face mai sigur, deoarece codul tău PIN este asociat doar cu un singur dispozitiv și beneficiază de backup pentru recuperare prin intermediul contului tău Microsoft.
