نقص امنیتی در قابلیت Windows Hello؛ ورود با تاثییر انگشت ایمن نیست
ویژگی احراز هویت با تاثییر انگشت از طریق قابلیت Windows Hello مایکروسافت در لپتاپهایی از دِل، لنوو و حتی محصولات خود غول ردموندی توسط محققان دور زده شده است. محققان امنیتی Blackwing Intelligence در گزارش خود توضیح خواهند داد که صدمهپذیریهای بسیاری را در سه سنسور تاثییر انگشت بهکارگرفتهشده در لپتاپها کشف کردهاند که کسبوکارها برای ایمنسازی دستگاههای خود با ویژگی احراز هویت تاثییر انگشت Windows Hello از آنها منفعت گیری میکنند.
بر پایه گزارش Blackwing Intelligence، تیم تحقیقات تهاجم و مهندسی امنیت مایکروسافت (MORSE) از این شرکت تحقیقاتی خواست کرده تا امنیت حسگرهای تاثییر انگشت را برسی کند. اکنون این تیم حسگرهای تاثییر انگشت ساختهشده توسط Goodix ،Synaptics و ELAN را بازدید کرده و نتایج آن را در این پست به اشتراک گذاشته است. این دسته از حملات میتواند دسترسی به یک لپتاپ سرقتشده را فراهم کند یا جهت دعوا «Evil Maid» به یک دستگاه بدون مراقبت بشود.
لپتاپهایی که تحت تأثیر نقص امنیتی مایکروسافت قرار دارند
مطابق این گزارش، لپتاپهای لنوو ThinkPad T14، دل Inspiron 15 و مایکروسافت سرفیس پرو ایکس قربانی حملات سنسور تاثییر انگشت شدهاند و این کار به محققان اجازه میدهد تا ویژگیهای امنیتی Windows Hello را دور بزنند.
بااینحال، اشکار نیست که آیا مایکروسافت میتواند تازه ترین نقصها را به تنهایی رفع کند یا خیر. در گزارش محققان Blackwing Intelligence آمده است:
«مایکروسافت در طراحی پروتکل اتصال ایمن دستگاه (SDCP) به خوبی عمل کرده است تا یک کانال امن بین میزبان و دستگاههای بیومتریک تشکیل کند، اما متأسفانه به نظر میرسد سازندگان دستگاهها برخی اهداف این سیستم را نادرست فهمید شدهاند. علاوهبراین، SDCP فقط محدوده زیاد مقداری از کارکرد یک دستگاه معمولی را پوشش میدهد، در حالی که زیاد تر دستگاهها سطح دعوا قابلتوجهی دارند که به هیچ وجه توسط SDCP پوشش داده نمیبشود.»
این چنین به حرف های آنها سیستم محافظت SDCP مایکروسافت در دو دستگاه بازدیدشده توسط آنها پیادهسازی شده می بود. آنها اکنون به تولیدکنندگان پیشنهاد کردهاند که از فعال بودن SDCP مطمعن حاصل کنند. Blackwing Intelligence این چنین در حال بازدید حملات تخریب حافظه بر روی فریمور سنسور و حتی امنیت حسگر تاثییر انگشت در دستگاههای لینوکس، اندروید و اپل است.
با وجود سختی مایکروسافت به منفعت گیری از Windows Hello و آینده بدون رمز عبور، اکنون اکثر کاربران لپتاپهای ویندوزی از سنسورهای تاثییر انگشت بهطور گسترده منفعت گیری میکنند. مایکروسافت سه سال پیش حرف های می بود که تقریباً ۸۵ درصد مصرفکنندگان به جای رمز عبور از Windows Hello برای ورود به ویندوز ۱۰ منفعت گیری میکنند، در نتیجه ابعاد این مشکل میتواند گستردهتر باشد.