کشف نقص امنیتی در قابلیت Windows Hello؛ ورود به ویندوز با اثر انگشت ایمن نیست
این دسته از حملات میتواند دسترسی به یک لپتاپ سرقتشده را فراهم کند و اطلاعات کاربر را به خطر بیندازد.
ویژگی احراز هویت با اثر انگشت از طریق قابلیت Windows Hello مایکروسافت در لپتاپهایی از Dell، Lenovo و حتی محصولات خود غول ردموندی توسط محققان دور زده شده است. محققان امنیتی Blackwing Intelligence در گزارش خود توضیح میدهند که آسیبپذیریهای متعددی را در سه سنسور اثر انگشت بهکارگرفتهشده در لپتاپها کشف کردهاند که کسبوکارها برای ایمنسازی دستگاههای خود با ویژگی احراز هویت اثر انگشت Windows Hello از آنها استفاده میکنند.
براساس گزارش Blackwing Intelligence، تیم تحقیقات تهاجم و مهندسی امنیت مایکروسافت (MORSE) از این شرکت تحقیقاتی درخواست کرده تا امنیت حسگرهای اثر انگشت را ارزیابی کند. حالا این تیم حسگرهای اثر انگشت ساختهشده توسط Goodix ،Synaptics و ELAN را بررسی کرده و نتایج آن را در این پست به اشتراک گذاشته است. این دسته از حملات میتواند دسترسی به یک لپتاپ سرقتشده را فراهم کند یا موجب حمله «Evil Maid» به یک دستگاه بدون مراقبت شود.
لپتاپهایی که تحت تأثیر نقص امنیتی مایکروسافت قرار دارند
طبق این گزارش، لپتاپهای Lenovo ThinkPad T14، Dell Inspiron 15 و Microsoft surface pro 8 ایکس قربانی حملات سنسور اثر انگشت شدهاند و این امر به محققان اجازه میدهد تا ویژگیهای امنیتی Windows Hello را دور بزنند.
بااینحال، مشخص نیست که آیا مایکروسافت میتواند جدیدترین نقصها را به تنهایی برطرف کند یا خیر. در گزارش محققان Blackwing Intelligence آمده است:
«مایکروسافت در طراحی پروتکل اتصال ایمن دستگاه (SDCP) به خوبی عمل کرده است تا یک کانال امن بین میزبان و دستگاههای بیومتریک ایجاد کند، اما متأسفانه به نظر میرسد سازندگان دستگاهها برخی اهداف این سیستم را اشتباه متوجه شدهاند. علاوهبراین، SDCP فقط محدوده بسیار کمی از عملکرد یک دستگاه معمولی را پوشش میدهد، در حالی که بیشتر دستگاهها سطح حمله قابلتوجهی دارند که به هیچ وجه توسط SDCP پوشش داده نمیشود.»
همچنین به گفته آنها سیستم محافظت SDCP مایکروسافت در دو دستگاه بررسیشده توسط آنها پیادهسازی شده بود. آنها اکنون به تولیدکنندگان توصیه کردهاند که از فعال بودن SDCP اطمینان حاصل کنند. Blackwing Intelligence همچنین در حال بررسی حملات تخریب حافظه بر روی فریمور سنسور و حتی امنیت حسگر اثر انگشت در دستگاههای لینوکس، اندروید و اپل است.
با وجود فشار مایکروسافت به استفاده از Windows Hello و آینده بدون رمز عبور، اکنون اکثر کاربران لپتاپهای ویندوزی از سنسورهای اثر انگشت بهطور گسترده استفاده میکنند. مایکروسافت سه سال پیش گفته بود که تقریباً ۸۵ درصد مصرفکنندگان به جای رمز عبور از Windows Hello برای ورود به ویندوز ۱۰ استفاده میکنند، در نتیجه ابعاد این مشکل میتواند گستردهتر باشد.
منبع : دیجیاتو