Výzkumníci úspěšně obešli ověřování pomocí otisku prstu Microsoft Windows Hello

Bezpečnostní skupina najatá společností Microsoft, aby otestovala svůj hardware a software pro ověřování otisků prstů Windows Hello, zveřejnila zprávu, že dokázala obejít tuto technologii na řadě notebooků, včetně produktu Microsoft Surface.

Skupina Blackwell Intelligence odhalila svá zjištění v říjnu v rámci bezpečnostní konference společnosti Microsoft BlueHat, ale své výsledky zveřejnila na svých vlastních stránkách až tento týden (přes The Verge< a i=2>). Blogový příspěvek, který má chytlavý název „A Touch of Pwn“, uvedl, že skupina používala snímače otisků prstů uvnitř Dell Inspiron 15 a Lenovo ThinkPad. Notebooky T14 spolu s krytem Microsoft Surface Pro Type Cover s ID otisku prstu vytvořeným pro tablety Surface Pro 8 a X. Specifické snímače otisků prstů byly vyrobeny společnostmi Goodix, Synaptics a ELAN.

Všechny testované snímače otisků prstů s podporou Windows Hello používaly hardware „match on chip“, což znamená, že ověřování probíhá na samotném snímači, který má svůj vlastní mikroprocesor a úložiště. Blackwell uvedl:

Databáze „šablon otisků prstů“ (biometrických údajů získaných snímačem otisků prstů) je uložena na čipu a registrace a spárování se provádí přímo v čipu. Vzhledem k tomu, že šablony otisků prstů nikdy neopouštějí čip, eliminuje to obavy o soukromí spojené s ukládáním biometrických materiálů z hostitele a jejich potenciální exfiltrací z hostitele – i když je hostitel kompromitován. Tento přístup také zabraňuje útokům, které zahrnují prosté zaslání obrázků platných otisků prstů hostiteli pro porovnání.

Blackwell použil reverzní inženýrství k nalezení nedostatků ve snímačích otisků prstů a poté vytvořil vlastní USB zařízení, které by mohlo provádět útok typu man-in-the-middle (MitM). Toto zařízení jim umožnilo obejít hardware pro ověřování otisků prstů v těchto zařízeních.

Blog také poukázal na to, že zatímco Microsoft používá protokol Secure Device Connection Protocol (SDCP) „k zajištění zabezpečeného kanálu mezi hostitelem a biometrickými zařízeními“, dva ze tří testovaných snímačů otisků prstů dokonce neměly povolený SDCP. Společnost Blackwell doporučila, aby všechny společnosti zabývající se snímačem otisků prstů nejen povolily SDCP na svých produktech, ale také aby zajistily fungování společnosti třetí strany.

Je třeba zdůraznit, že obejít tyto hardwarové produkty otisků prstů zabralo společnosti Blackwell „přibližně tři měsíce“ práce s velkým úsilím, ale jde o to, že byly úspěšné. Zbývá zjistit, zda Microsoft nebo společnosti zabývající se snímačem otisků prstů mohou tento výzkum použít k vyřešení těchto problémů.