ITCOW牛新网11月22日消息,据报道,微软的 Windows Hello 指纹认证系统遭到破解,影响了包括戴尔、联想和微软在内的多款笔记本电脑。安全研究机构 Blackwing Intelligence 发现了三种最受欢迎的指纹传感器中的多个漏洞,这些传感器被广泛应用于企业级笔记本电脑的 Windows Hello 指纹验证系统中。
微软的攻防研究和安全工程(MORSE)团队曾邀请 Blackwing Intelligence 对指纹传感器进行安全性评估,研究成果在10月份的微软 BlueHat 会议上展示。研究团队选取了 Goodix、Synaptics 和 ELAN 三家公司的指纹传感器作为研究对象。他们最近在一篇博客文章中详细描述了如何构建一个能够执行中间人攻击(MitM)的 USB 设备。这种攻击能够让黑客访问被盗的笔记本电脑,甚至对无人看管的设备发起“邪恶女仆”攻击。
戴尔 Inspiron 15、联想 ThinkPad T14 和微软 Surface Pro X 是该指纹识别攻击的受害机型。研究人员发现,只要有人曾在这些设备上使用过指纹验证,就能绕过 Windows Hello 的保护机制。Blackwing Intelligence 的研究人员通过逆向工程对软件和硬件进行了深入分析,并发现了 Synaptics 传感器中一个自定义 TLS 加密实现的缺陷。绕过 Windows Hello 的过程还涉及到解码和重新实现专有协议。
指纹传感器目前在 Windows 笔记本电脑中的广泛使用,得益于微软对 Windows Hello 和无密码未来的推动。据微软三年前透露,近85%的消费者使用 Windows Hello 来登录 Windows 10 设备,而不是使用传统密码(微软将使用简单的 PIN 也视为使用 Windows Hello)。
此次并非 Windows Hello 基于生物特征的认证系统首次遭到挑战。2021年,微软不得不修复一个可以通过拍摄受害者的红外图像来欺骗面部识别功能的 Windows Hello 认证绕过漏洞。
目前,微软是否能够单独修复这些新发现的漏洞尚不明确。