Новини Технології 22.11.2023 о 16:09 comment views icon

Дослідники знайшли спосіб обійти захист відбитком пальця Windows Hello від Microsoft

author avatar
https://itc.ua/wp-content/uploads/2023/07/2023-07-19-12.08.01-2-96x96.jpg *** https://itc.ua/wp-content/uploads/2023/07/2023-07-19-12.08.01-2-96x96.jpg *** https://itc.ua/wp-content/uploads/2023/07/2023-07-19-12.08.01-2-96x96.jpg

Юрій Орос

Автор новин

Дослідники знайшли спосіб обійти захист відбитком пальця Windows Hello від Microsoft

Автентифікацію за відбитком пальця Windows Hello вдалося обійти на ноутбуках Dell, Lenovo і навіть Microsoft. Дослідники безпеки з Blackwing Intelligence виявили численні вразливості в трьох основних датчиках відбитків пальців, які вбудовуються в ноутбуки й широко використовуються компаніями для захисту інформації.

Підрозділ Microsoft з наступальних досліджень та інженерії безпеки (MORSE) звернувся до Blackwing Intelligence з проханням оцінити безпеку датчиків відбитків пальців, і дослідники представили свої висновки в презентації на конференції Microsoft BlueHat, яка проходила в жовтні. Об’єктами досліджень були сенсори відбитків Goodix, Synaptics та ELAN. Для обходу створили USB-пристрій, який може здійснити атаку MitM (man-in-the-middle, людина посередині). Така атака може забезпечити доступ до вкраденого ноутбука або навіть до пристрою, що залишився без нагляду, передає The Verge.

Dell Inspiron 15, Lenovo ThinkPad T14 та Microsoft Surface Pro X стали жертвами атак на сканери відбитків пальців, що дало змогу дослідникам обійти захист Windows Hello, якщо хтось до цього на них використовував автентифікацію за відбитками пальців. Дослідники Blackwing Intelligence провели реінжиніринг як програмного, так і апаратного забезпечення, і виявили недоліки криптографічної реалізації в кастомному TLS (криптографічний протокол) на датчику Synaptics. Складний процес обходу Windows Hello також включав декодування та повторну реалізацію пропрієтарних протоколів.

Це не перший випадок, коли автентифікація Windows Hello на основі біометричних даних підводить. Microsoft була змушена виправити вразливість обходу автентифікації Windows Hello у 2021 році після перевірки концепції, яка передбачала захоплення інфрачервоного зображення жертви, щоб підробити функцію розпізнавання обличчя Windows Hello.

Повний запис конференції Microsoft BlueHat

Триває конкурс авторів ІТС. Напиши статтю про розвиток ігор, геймінг та ігрові девайси та вигравай професійне ігрове кермо Logitech G923 Racing Wheel, або одну з низькопрофільних ігрових клавіатур Logitech G815 LIGHTSYNC RGB Mechanical Gaming Keyboard!


Loading comments...

Повідомити про помилку

Текст, який буде надіслано нашим редакторам: