Група за сигурност, наета от Microsoft, за да тества своя хардуер и софтуер за удостоверяване на пръстови отпечатъци Windows Hello, публикува съобщение, че е успяло да заобиколи тази технология на редица лаптопи, включително продукт на Microsoft Surface.
Групата Blackwell Intelligence разкри откритията си през октомври като част от конференцията за сигурност на Microsoft BlueHat, но публикува резултатите си на собствения си сайт едва тази седмица (чрез The Verge< a i=2>). Публикацията в блога, която има закачливото заглавие „A Touch of Pwn“, заяви, че групата е използвала сензорите за пръстови отпечатъци в Dell Inspiron 15 и Lenovo ThinkPad T14 лаптопи, заедно с Microsoft Surface Pro Type Cover с ID на пръстови отпечатъци, направени за таблетите Surface Pro 8 и X. Конкретните сензори за пръстови отпечатъци са произведени от Goodix, Synaptics и ELAN.
Всички поддържани от Windows Hello сензори за пръстови отпечатъци, които бяха тествани, използваха хардуер „match on chip“, което означава, че удостоверяването се обработва от самия сензор, който има собствен микропроцесор и памет. Блекуел заяви:
База данни от „шаблони за пръстови отпечатъци“ (биометричните данни, получени от сензора за пръстови отпечатъци) се съхраняват в чипа, а записването и съпоставянето се извършват директно в чипа. Тъй като шаблоните за пръстови отпечатъци никога не напускат чипа, това елиминира опасенията за поверителност на биометричния материал, който се съхранява и потенциално ексфилтриран от хоста – дори ако хостът е компрометиран. Този подход също така предотвратява атаки, които включват просто изпращане на изображения на валидни пръстови отпечатъци до хоста за съпоставяне.
Блекуел използва обратно инженерство, за да намери недостатъци в сензорите за пръстови отпечатъци и след това създаде свое собствено USB устройство, което може да извърши атака човек по средата (MitM). Това устройство им позволи да заобиколят хардуера за удостоверяване на пръстови отпечатъци в тези устройства.
Блогът също така посочи, че докато Microsoft използва Secure Device Connection Protocol (SDCP) „за осигуряване на защитен канал между хоста и биометричните устройства“, два от трите тествани сензора за пръстови отпечатъци дори не са имали активиран SDCP. Блекуел препоръча на всички компании за сензори за пръстови отпечатъци не само да активират SDCP на своите продукти, но и да намерят трета компания, за да се уверят, че работи.
Трябва да се отбележи, че заобикалянето на тези хардуерни продукти за пръстови отпечатъци отне „приблизително три месеца“ работа на Blackwell с много усилия, но въпросът е, че те бяха успешни. Остава да видим дали Microsoft или компаниите за сензори за пръстови отпечатъци могат да използват това изследване, за да коригират тези проблеми.