Según Neowin , el equipo de Blackwell Intelligence reveló sus hallazgos en octubre durante la conferencia de seguridad BlueHat de Microsoft, pero no los publicó en su sitio web hasta esta semana. La entrada del blog, titulada "A Touch of Pwn", explica que el equipo utilizó sensores de huellas dactilares en portátiles Dell Inspiron 15 y Lenovo ThinkPad T14, así como fundas Microsoft Surface Pro Type Cover con identificación de huellas dactilares diseñadas para Surface Pro 8 y X. Los sensores de huellas dactilares fueron fabricados por Goodix, Synaptics y ELAN.
A Blackwell le tomó alrededor de tres meses de investigación descubrir una vulnerabilidad en Windows Hello.
Todos los sensores de huellas dactilares compatibles con Windows Hello que probamos utilizan hardware basado en chip, lo que significa que la autenticación se maneja en el propio sensor, que tiene su propio chip y almacenamiento.
En su declaración, Blackwell afirmó que la base de datos de "plantillas de huellas dactilares" (datos biométricos capturados por el sensor de huellas dactilares) se almacena en el chip , y que el registro y la comparación se realizan directamente en él. Dado que las plantillas de huellas dactilares nunca salen del chip, se eliminan las preocupaciones sobre la privacidad, ya que los datos biométricos se almacenan de forma segura. También previene ataques que implican el envío de imágenes de huellas dactilares válidas a un servidor para su comparación.
Sin embargo, Blackwell logró eludir el sistema mediante ingeniería inversa para encontrar vulnerabilidades en los sensores de huellas dactilares y luego creó su propio dispositivo USB capaz de realizar un ataque de intermediario (MitM). Este dispositivo permitió al grupo eludir el hardware de autenticación de huellas dactilares de dichos dispositivos.
Blackwell también indicó que, si bien Microsoft utiliza el Protocolo de Conexión de Dispositivos Seguros (SDCP) para proporcionar un canal seguro entre el servidor y el dispositivo biométrico, dos de los tres sensores de huellas dactilares analizados ni siquiera tenían SDCP habilitado. Blackwell recomienda que todas las empresas de sensores de huellas dactilares no solo habiliten SDCP en sus productos, sino que también contraten a una empresa externa para garantizar su funcionamiento.
Cabe destacar que Blackwell tardó aproximadamente tres meses en superar estos productos de hardware de huellas dactilares. No está claro cómo Microsoft y otras empresas de sensores de huellas dactilares solucionarán el problema según esta investigación.
[anuncio_2]
Enlace de origen
![[Vídeo] Más de 100 universidades anuncian las tasas de matrícula para el curso académico 2025-2026](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/7/18/7eacdc721552429494cf919b3a65b42e)
![[Infografía] En 2025, 47 productos alcanzarán el OCOP nacional](https://vphoto.vietnam.vn/thumb/402x226/vietnam/resource/IMAGE/2025/7/16/5d672398b0744db3ab920e05db8e5b7d)
Kommentar (0)