Uporabniki sistema Windows so bili navdušeni, ko so videli naprave s sistemom biometrične avtentikacije na osnovi prstnih odtisov, podobno kot Touch ID na prenosnih računalnikih in računalnikih podjetja Apple. Težava pa je v tem, da stvari na sistemu Windows ne delujejo tako gladko, saj so bile odkrite ranljivosti sistema Windows Hello pri prepoznavanju prstnih odtisov na vrhunskih prenosnih računalnikih.
Varnostni raziskovalci so razkrili, da sistem za preverjanje pristnosti prstnih odtisov Windows Hello, prisoten na treh najbolj priljubljenih prenosnikih Windows, ne zagotavlja pričakovane ravni varnosti. Na Microsoftovo zahtevo je podjetje za kibernetsko varnost Blackwing Intelligence izvedlo teste prodora in ugotovilo, da so vsi trije prenosniki teh testov padli.
Kljub temu, da je bil Microsoft Surface podvržen testom, se je izkazal za najbolj ranljivega izmed treh modejih preizkusili in omogočili enostaven obhod biometrične avtentikacije prstnih odtisov Windows Hello.
Microsoftova raziskovalna skupina (MORSE) je izrecno zahtevala varnostno oceno za najbolj zmogljive senzorje prstnih odtisov, vgrajene v prenosne računalnike, vendar so rezultati pokazali več ranljivosti, ki jih je ekipa uspešno izkoristila. Vsak prenosnik, vključno z Dell Inspiron 15 in Lenovo ThinkPad T14, je zahteval različne pristope za izogibanje obstoječim varnostnim protokolom.
Te ranljivosti Windows Hello o preverjanju pristnosti s prstnimi odtisi poudarja nenehen pomen izboljšanja sistemov za preverjanje pristnosti, da se zagotovi večja raven varnosti.
Kuprini
Ranljivosti sistema Windows Hello pri prepoznavanju prstnih odtisov na prenosnem računalniku Dell Inspiron 15
Dell Inspiron 15 predstavlja pomembne ranljivosti Windows Hello za preverjanje pristnosti prstnega odtisa. Ko je naprava vklopljena Windows, sledi popolnim varnostnim protokolom, vključno z Secure Device Connection Protocol (SDCP). Ti protokoli izvajajo bistvena preverjanja, kot je zagotavljanje, da gostitelj komunicira z zaupanja vredno napravo in da se podatki o prstnih odtisih ne shranjujejo ali posredujejo. Vendar pa ekipa, ki je testirala ranljivosti Windows Hello opazili, da je med dostopom do čitalca prstnih odtisov v Windows uporablja SDCP, dostop do Linux ne. In dobili so idejo.
Z vklopom ciljne naprave Linux in stransko uporabo Linux za vnos napadalčevega prstnega odtisa v bazo podatkov z navedbo istega ID-ja kot zakoniti uporabnik, vpisan prek Windows, je ekipa odkrila ranljivost. Čeprav je bil ta poskus sprva neuspešen, saj so odkrili ločene baze podatkov na čipu Windows şi Linux, je bilo mogoče ugotoviti, kako Windows vedel, do katere zbirke podatkov mora dostopati, in jo je lahko usmeril na tisto, ki je vklopljena Linux.
To je odprlo pot za naslednjo rešitev, ki vključuje napad Man in the Middle (MitM). Tukaj so koraki te ranljivosti Windows Hello pri vklopljeni avtentikaciji s prstnim odtisom Dell Inspiron 15.
1. Sistem je vklopljen Linux.
2. Navedeni so veljavni ID-ji. Torej so določeni tisti, ki jih je mogoče pooblastiti.
3. Izvede se vpis napadalčevega prstnega odtisa z uporabo istega ID-ja kot legitimnega uporabnika Windows.
4. Vrsta napada Man in the Middle (MitM) na povezavi med gostiteljem in senzorjem.
5. Zaženite sistem Windows.
6. Prestrezanje in ponovno pisanje konfiguracijskega paketa, da kaže na bazo podatkov Linux z uporabo napada MitM.
7. Avtentikacija se izvede kot legitimni uporabnik s prstnim odtisom napadalca.
Relativno enostavna metoda za tip uporabnika, ki ima povprečno znanje o arhitekturi operacijskih sistemov Linux in sistemi Windows.
Kar zadeva Microsoft Surface Pro 8 / X, je ranljivost še lažje izkoristiti.
Ranljivost identifikacije prstnih odtisov na prekritju tipkovnice Microsoft Surface Pro Type
Kar zadeva ranljivost, ugotovljeno na ovitku Microsoft Surface Pro Type Cover with Fingerprint ID, je raziskovalna skupina pričakovala, da bo uradni Microsoftov izdelek predstavljal najvišjo stopnjo težavnosti, vendar so bili osupli, ko so ugotovili neverjetno šibko varnost. V tem primeru je bilo očitno pomanjkanje protokola za varno povezavo naprave (SDCP), skupaj z jasno besedilno (nešifrirano) komunikacijo USB in odsotnostjo preverjanja pristnosti.
Zaradi tega pomanjkanja varnosti je ekipa ugotovila, da lahko preprosto odklopijo senzor prstnih odtisov in priključijo svojo napravo, da ga posnemajo. Postopek je bil sestavljen iz odklopa Type Cover (gonilnik ne more obvladati dveh povezanih senzorjev, zaradi česar postane nestabilen), povezovanja napadalne naprave, spodbujanja VID/PID senzorja, opazovanja veljavnega SID-ja gonilnika Windows, mimo preverjanja "how many fingerprints” in zagon preverjanja pristnosti s prstnim odtisom v sistemu Windows, čemur sledi pošiljanje veljavnega odgovora za prijavo iz ponarejene naprave.
Skratka, te ranljivosti Windows Hello o avtentikaciji s prstnimi odtisi je opozoril na pomembne ranljivosti, ki lahko obstajajo pri implementaciji biometričnih sistemov za avtentikacijo.
Povezano: Kako onemogočiti preverjanje pristnosti z Windows Hello PIN, obraz in prstni odtis Windows 10
Kaj je Windows Hello?
Prvič predstavljen z izdajo operacijskega sistema Windows 10 in še naprej zagotavljati izboljšano funkcionalnost namiznih in prenosnih računalnikov Windows 11, Windows Hello je hitrejši in varnejši način za takojšen dostop do naprav Windows.
Ta napredni sistem za preverjanje pristnosti vam omogoča dostop do vaših naprav Windows 11 z uporabo kode PIN, prepoznave obraza ali prstnega odtisa. Če želite izkoristiti te možnosti, morate med inicializacijo prstnega odtisa ali prepoznavanja obraza nastaviti kodo PIN, lahko pa se tudi overite samo s svojo PIN.
Te možnosti ne le bistveno olajšajo prijavo v vaš računalnik, ampak jo naredijo tudi bolj varno, saj je vaša koda PIN povezana samo z eno napravo in je varnostno kopirana za obnovitev prek vašega Microsoftovega računa.
