Logowanie odciskiem palca Windows Hello pominięte przez badaczy bezpieczeństwa

Analitycy bezpieczeństwa zdołali ominąć metodę uwierzytelniania odcisków palców Windows Hello. Naukowcom z nowojorskiej firmy Blackwing Intelligence najwyraźniej udało się ominąć uwierzytelnianie odcisków palców w laptopach Dell, Lenovo i Microsoft, wykorzystując lukę w czujnikach linii papilarnych, szczególnie tych od najlepszych producentów Goodix, Synaptics i ELAN.

Na swojej stronie Firma Blackwing Intelligence opublikowała post szczegółowo opisujący, w jaki sposób udało jej się zastosować MitM oparty na USB („Człowiek w środku ”) atak mający na celu ominięcie uwierzytelniania Windows Hello i uzyskanie dostępu do urządzenia. Wyniki zaprezentowano podczas zeszłomiesięcznej konferencji Microsoft BlueHat. W chwili obecnej nie jest jasne, w jaki sposób Microsoft zamierza rozwiązać ten problem.

Oprogramowanie do rozpoznawania twarzy dla systemu Windows 10: najlepsze na rok 2023

Microsoft od jakiegoś czasu forsuje wprowadzenie uwierzytelniania biometrycznego i w 2020 roku poinformował, że aż prawie 85 procent użytkowników laptopów z systemem Windows korzysta z funkcji Windows Hello do logowania się do systemu Windows 10 (biorąc pod uwagę proste logowanie uwierzytelniane kodem PIN).

Chociaż są reklamowane jako bezpieczniejszy sposób ochrony urządzeń z systemem Windows, biometryczne metody logowania, takie jak skanowanie odcisków palców i rozpoznawanie twarzy, nie są niezawodne, jak pokazała prezentacja BlueHat firmy Blackwing Intelligence. Kilka lat temu Cyberark Labs przedstawiło dowód słuszności koncepcji pokazując, jak można ominąć technologię rozpoznawania twarzy Windows Hello, ponownie przy użyciu niestandardowego USB załadowane ze zdjęciem twarzy celu. Microsoftowi udało się później naprawić tę lukę.

Mimo to funkcje uwierzytelniania biometrycznego stają się coraz bardziej powszechne, także na urządzeniach z systemem Windows.