支持Windows Hello指纹身份验证的主要传感器并不像制造商所希望的那么安全。研究人员发现,多款支持 Windows Hello 身份验证功能的笔记本电脑中使用的多个指纹传感器存在安全漏洞。
Blackwing Intelligence的安全研究人员发现,由于传感器中的漏洞,戴尔、联想和微软制造的笔记本电脑的 Windows Hello 指纹身份验证很容易被绕过,从而导致它们被系统级别的不良行为者控制。
许多笔记本电脑品牌都使用 Goodix、Synaptics 和 ELAN 的指纹传感器。随着企业转向生物识别技术作为访问设备的主要选择,这些漏洞开始出现。随着时间的推移,密码的使用将继续减少。据The Verge报道,三年前,微软声称 85% 的用户在 Windows 10 设备上选择使用 Windows Hello 登录,而不是使用密码。
应微软进攻研究和安全工程 (MORSE) 的要求,研究人员在 10 月份的该品牌 BlueHat 会议上分享了困扰支持指纹身份验证的笔记本电脑的各种攻击的详细信息。
其中一种攻击是中间人 (MitM) 攻击,它可用于访问被盗的笔记本电脑。另一种方法是“邪恶女仆”攻击,可以在无人值守的设备上使用。
Blackwing Intelligence 研究人员测试了戴尔 Inspiron 15、联想 ThinkPad T14 和微软 Surface Pro X,只要有人之前使用过指纹访问过这些设备,这些设备都会成为各种绕过方法的受害者。研究人员指出,绕过需要对笔记本电脑上的硬件和软件进行逆向工程。他们特别发现了 Synaptics 传感器安全层的缺陷。 Windows Hello 需要进行解码和重组才能通过其设置,但它仍然可能被黑客攻击。
研究人员指出,微软的安全设备连接协议(SDCP)是在生物识别标准中应用安全措施的一次可靠尝试。它允许生物识别传感器与其笔记本电脑之间更安全的通信。然而,并非所有制造商都很好地实现了该功能,即使他们启用了该功能,也无法使其发挥作用。研究中检查的三台笔记本电脑中有两台启用了 SDCP。
拥有更安全的生物识别笔记本电脑不仅仅是微软的任务。 Blackwing Intelligence 指出,保护支持 Windows Hello 的笔记本电脑的一个初步补救措施是在制造商方面启用 SDCP。
这项研究是针对 2021 年 Windows Hello 中的面部识别生物识别缺陷进行的,该缺陷允许用户通过某些更改绕过该功能。在研究人员提出了一个概念证明,展示用户戴着口罩或进行整形手术绕过 Windows Hello 面部识别身份验证后,微软被迫更新其功能。