По данным Neowin , команда Blackwell Intelligence представила свои выводы в октябре во время конференции Microsoft по безопасности BlueHat, но они опубликовали результаты на своем собственном сайте только на этой неделе. В сообщении в блоге под названием «A Touch of Pwn» говорится, что команда использовала датчики отпечатков пальцев внутри ноутбуков Dell Inspiron 15 и Lenovo ThinkPad T14, а также чехлы Microsoft Surface Pro Type Covers с Fingerprint ID, предназначенные для Surface Pro 8 и X. Конкретные датчики отпечатков пальцев были произведены Goodix, Synaptics и ELAN.
Блэквеллу потребовалось около 3 месяцев исследований, чтобы обнаружить уязвимость в Windows Hello.
Все протестированные нами сканеры отпечатков пальцев с поддержкой Windows Hello используют аппаратное обеспечение на базе чипа, что означает, что аутентификация выполняется на самом датчике, который имеет собственный чип и хранилище.
В своем заявлении Блэквелл сказал, что база данных «шаблонов отпечатков пальцев» (биометрические данные, полученные датчиком отпечатков пальцев) хранится на чипе , а регистрация и сопоставление производятся непосредственно на чипе. Поскольку шаблоны отпечатков пальцев никогда не покидают чип, это устраняет проблемы конфиденциальности, поскольку биометрические данные хранятся в безопасности. Это также предотвращает атаки, которые включают отправку действительных изображений отпечатков пальцев на сервер для сопоставления.
Однако Блэквеллу удалось обойти систему, используя обратную разработку для поиска уязвимостей в датчиках отпечатков пальцев, а затем создать собственное USB-устройство, которое могло выполнять атаку типа «человек посередине» (MitM). Это устройство позволило группе обойти аппаратное обеспечение аутентификации по отпечаткам пальцев в этих устройствах.
Блэквелл также сказал, что хотя Microsoft использует протокол безопасного подключения устройств (SDCP) для обеспечения безопасного канала между сервером и биометрическим устройством, два из трех протестированных датчиков отпечатков пальцев даже не имели включенного SDCP. Блэквелл рекомендует всем компаниям, выпускающим датчики отпечатков пальцев, не только включить SDCP в своих продуктах, но и поручить сторонней компании гарантировать его работу.
Стоит отметить, что Blackwell потребовалось около трех месяцев усилий, чтобы обойти эти аппаратные продукты для отпечатков пальцев. Неясно, как Microsoft и другие компании, занимающиеся датчиками отпечатков пальцев, собираются решить эту проблему, основываясь на этом исследовании.
Ссылка на источник
![[Фото] Лидеры провинции Джиа Лай возлагают цветы к памятнику дяде Хо вместе с представителями этнических групп Центрального нагорья.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/7/9/196438801da24b3cb6158d0501984818)
Комментарий (0)