Откриха начин за хакване на лаптопи със скенери за пръстови отпечатъци и Windows Hello
Експертите хакнали лаптопи Dell Inspiron 15, Lenovo ThinkPad T14 и Microsoft Surface Pro X
Защитата на Windows Hello с помощта на скенери за пръстови отпечатъци е заобиколена - открити са уязвимости в лаптопи на Dell, Lenovo и дори на Microsoft. Експертите по сигурността от Blackwing Intelligence са открили дупки в сигурността на скенерите за пръстови отпечатъци на трима големи производители - тези компоненти са вградени в лаптопите и се използват широко от фирмите със системата за удостоверяване Windows Hello.
Blackwing Intelligence получи поръчка от подразделението MORSE на Microsoft за оценка на сигурността на скенерите за пръстови отпечатъци и представи резултатите си на конференцията BlueHat на Microsoft през октомври. За обект на проучването бяха избрани скенерите Goodix, Synaptics и ELAN - беше установено, че те не са достатъчно защитени, а изследователите подробно описаха процеса на създаване на USB устройство за MitM (man-in-the-middle) атака.
Експертите хакнали лаптопи Dell Inspiron 15, Lenovo ThinkPad T14 и Microsoft Surface Pro X, защитени със скенер за пръстови отпечатъци. Те са направили обратно инженерство на софтуерните и хардуерните компоненти на защитата и са открили уязвимости в криптографската реализация на TLS на скенера Synaptics.
"Microsoft е свършила добра работа при създаването на Secure Device Connection Protocol (SDCP), за да осигури сигурен канал между хоста и биометричните устройства, но за съжаление производителите на устройства изглежда не разбират правилно някои от целите.
Освен това SDCP покрива само тясна област от работата на типичното устройство, а повърхността на атака на повечето устройства изобщо не е покрита от SDCP" - коментират откритието си експертите на Blackwing Intelligence.
Изследователите са установили, че на две от трите целеви устройства защитата Microsoft SDCP изобщо не е била активирана. В резултат на това производителите на лаптопи бяха посъветвани да се уверят, че SDCP е активирана, и да проверят прилагането на скенера за пръстови отпечатъци с квалифициран експерт.
Blackwing Intelligence също така проучи уязвимостта на фърмуера на скенера към атаки за повреждане на паметта, както и сигурността на скенерите за пръстови отпечатъци на продукти на Apple и на устройства с Linux и Android.
;void(0);){kind=link}
;void(0);){kind=link}
;void(0);){kind=link}
;void(0);){kind=link}
;void(0);){kind=link}
;void(0);){kind=link}
;void(0);){kind=link}
;void(0);){kind=link}
;void(0);){kind=link}
;void(0);){kind=link}
;void(0);){kind=link}
;void(0);){kind=link}
;void(0);){kind=link}
;void(0);){kind=link}