Некоторые сканеры отпечатков пальцев, используемых для аутентификации с помощью Windows Hello, содержат серьезные уязвимости, которые позволяют злоумышленникам обходить защиту и получать доступ к ноутбукам Dell, Lenovo и Microsoft. Об этом сообщает The Verge.
Команда исследователей компании Blackwing Intelligence провела анализ трех распространенных датчиков отпечатков пальцев от Goodix, Synaptics и ELAN, которые встраиваются в ноутбуки и используются для защиты с помощью Windows Hello. Благодаря специальному USB-устройству эксперты смогли подделать биометрические данные и успешно взломать безопасность ноутбуков Dell Inspiron 15, Lenovo ThinkPad T14 и Microsoft Surface Pro X.
Windows Hello — это система аутентификации в компьютерах под управлением операционной системы Windows, которая позволяет пользователям входить в свои устройства с помощью сканеров отпечатка пальца или лица. Microsoft активно продвигает эту функцию как альтернативу паролям, заявляя, что она обеспечивает высокий уровень безопасности и удобство.
Однако исследование Blackwing Intelligence показало, что сканеры Windows Hello не такие надежные. Специалисты обнаружили, что два из трех протестированных устройств не использовали защитный протокол SDCP (Secure Device Connection Protocol), который предназначен для обеспечения безопасного канала между хостом и биометрическими устройствами. Кроме того, они выявили ряд других проблем в реализации датчиков отпечатков пальцев, таких как отсутствие проверки подлинности, неправильная обработка ошибок и слабая криптография.
Исследователи предупредили, что уязвимости, которые они обнаружили, могут быть использованы злоумышленниками для получения доступа к конфиденциальной информации, установки вредоносного ПО или выполнения других злонамеренных действий на чужих ноутбуках. Они также отметили, что исправление этих уязвимостей потребует совместных усилий от Microsoft и производителей.