Технологията за сигурност Windows Hello е уязвима на някои лаптопи
(снимка: CC0 Public Domain)
Изследователи по сигурността са открили множество уязвимости в три скенера за пръстови отпечатъци, които са вградени в лаптопи и се използват широко от бизнеса за сигурен достъп с помощта на технологията Windows Hello на Microsoft.
Удостоверяването с пръстов отпечатък чрез Windows Hello е заобиколено от ИТ спецовете на лаптопи Dell, Lenovo и дори Microsoft. Екипът на Blackwing Intelligence е тествал популярни сензори за пръстови отпечатъци от Goodix, Synaptics и ELAN, съобщи The Verge.
Скорошна публикация в блога на изследователите описва подробно процеса на създаване на USB устройство, което може да се използва за атака. В резултат на това хакерите могат да получат достъп до лаптоп, който е откраднат или дори оставен без надзор. Хакването е извършено успешно на Dell Inspiron 15, Lenovo ThinkPad T14 и Microsoft Surface Pro X.
Скенерите за пръстови отпечатъци вече се използват широко от потребителите на лаптопи с Windows, благодарение на усилията на Microsoft за „бъдеще без парола”. Преди три години компанията съобщи, че близо 85% от потребителите са използвали Windows Hello за влизане в устройства с Windows 10, вместо да използват парола.
Не е ясно обаче дали Microsoft ще успее сама да коригира откритите пропуски. Изследователите отбелязват в доклада си: “Microsoft свърши добра работа с разработването на Secure Device Connection Protocol (SDCP), за да осигури защитен канал между хоста и биометричните устройства, но за съжаление, производителите на устройства изглежда не са разбрали някои от предизвикателствата”.
Експертите са установили, че защитата на Microsoft SDCP не е активирана на две от трите устройства. Сега Blackwing Intelligence препоръчва на OEM производителите да гарантират, че SDCP е активирана и сензорът за пръстови отпечатъци е тестван от квалифициран експерт.