کشف یک نقص امنیتی در ویژگی Windows Hello. ورود با اثر انگشت امن نیست

کشف نقص امنیتی در قابلیت Windows Hello؛ ورود به ویندوز با اثر انگشت ایمن نیست

این دسته از حملات می‌تواند دسترسی به یک لپ‌تاپ سرقت‌شده را فراهم کند و اطلاعات کاربر را به خطر بیندازد.

ویژگی احراز هویت با اثر انگشت از طریق قابلیت Windows Hello مایکروسافت در لپ‌تاپ‌هایی از دِل، لنوو و حتی محصولات خود غول ردموندی توسط محققان دور زده شده است. محققان امنیتی Blackwing Intelligence در گزارش خود توضیح می‌دهند که آسیب‌پذیری‌های متعددی را در سه سنسور اثر انگشت به‌کارگرفته‌شده در لپ‌تاپ‌ها کشف کرده‌اند که کسب‌و‌کارها برای ایمن‌سازی دستگاه‌های خود با ویژگی احراز هویت اثر انگشت Windows Hello از آن‌ها استفاده می‌کنند.

براساس گزارش Blackwing Intelligence، تیم تحقیقات تهاجم و مهندسی امنیت مایکروسافت (MORSE) از این شرکت تحقیقاتی درخواست کرده تا امنیت حسگرهای اثر انگشت را ارزیابی کند. حالا این تیم حسگرهای اثر انگشت ساخته‌شده توسط Goodix ،Synaptics و ELAN را بررسی کرده و نتایج آن را در این پست به اشتراک گذاشته است. این دسته از حملات می‌تواند دسترسی به یک لپ‌تاپ سرقت‌شده را فراهم کند یا موجب حمله «Evil Maid» به یک دستگاه بدون مراقبت شود.

لپ‌تاپ‌هایی که تحت تأثیر نقص امنیتی مایکروسافت قرار دارند

طبق این گزارش‌، لپ‌تاپ‌های لنوو ThinkPad T14، دل Inspiron 15 و مایکروسافت سرفیس پرو ایکس قربانی حملات سنسور اثر انگشت شده‌اند و این امر به محققان اجازه می‌دهد تا ویژگی‌های امنیتی Windows Hello را دور بزنند.

بااین‌حال، مشخص نیست که آیا مایکروسافت می‌تواند جدیدترین نقص‌ها را به تنهایی برطرف کند یا خیر. در گزارش محققان Blackwing Intelligence آمده است:

«مایکروسافت در طراحی پروتکل اتصال ایمن دستگاه (SDCP) به خوبی عمل کرده است تا یک کانال امن بین میزبان و دستگاه‌های بیومتریک ایجاد کند، اما متأسفانه به نظر می‌رسد سازندگان دستگاه‌ها برخی اهداف این سیستم را اشتباه متوجه شده‌اند. علاوه‌بر‌این، SDCP فقط محدوده بسیار کمی از عملکرد یک دستگاه معمولی را پوشش می‌دهد، در حالی که بیشتر دستگاه‌ها سطح حمله قابل‌توجهی دارند که به هیچ وجه توسط SDCP پوشش داده نمی‌شود.»

همچنین به گفته آن‌ها سیستم محافظت SDCP مایکروسافت در دو دستگاه بررسی‌شده توسط آن‌ها پیاده‌سازی شده بود. آن‌ها اکنون به تولیدکنندگان توصیه کرده‌اند که از فعال بودن SDCP اطمینان حاصل کنند. Blackwing Intelligence همچنین در حال بررسی حملات تخریب حافظه بر روی فریم‌ور سنسور و حتی امنیت حسگر اثر انگشت در دستگاه‌های لینوکس، اندروید و اپل است.

با وجود فشار مایکروسافت به استفاده از Windows Hello و آینده بدون رمز عبور، اکنون اکثر کاربران لپ‌تاپ‌های ویندوزی از سنسورهای اثر انگشت به‌طور گسترده استفاده می‌کنند. مایکروسافت سه سال پیش گفته بود که تقریباً 85 درصد مصرف‌کنندگان به جای رمز عبور از Windows Hello برای ورود به ویندوز 10 استفاده می‌کنند، در نتیجه ابعاد این مشکل می‌تواند گسترده‌تر باشد.