Prstni odtisi na prenosnikih z operacijskim sistemom Windows niso najbolj varni

Raziskovalci so odkrili več ranljivosti v bralnikih prstnih odtisov, vgrajenih v prenosnike, ki za varovanje naprav uporabljajo avtentikacijo prstnih odtisov Windows Hello. 

Microsoftov varnostni oddelek MORSE je podjetje Blackwing Intelligence zaprosil za oceno varnosti senzorjev prstnih odtisov, vgrajenih v prenosnike z operacijskim sistemom Windows. Raziskovalci so svoje ugotovitve predstavili na Microsoftovi oktobrski konferenci BlueHat. Ekipa je identificirala priljubljene senzorje prstnih odtisov Goodix, Synaptics in ELAN kot tarče svoje raziskave, pri čemer so podrobno opisali postopek izdelave USB naprave, ki omogoči dostop do ukradenega prenosnika ali spreminjanje računalnika brez nadzora.

Prenosniki, kot so Dell Inspiron 15, Lenovo ThinkPad T14 in Microsoft Surface Pro X, so bili žrtve napadov na bralnike prstnih odtisov, v katerih je raziskovalcem uspelo zaobiti zaščito Windows Hello. Odkrili so napake v kriptografski implementaciji prilagojenega varnostnega sloja TLS na senzorju Synaptics. Zapleten postopek mimohoda Windows Hello je vključeval tudi dekodiranje in ponovno implementacijo lastniških protokolov. Rezultati so povzročili nemalo skrbi, saj je zahvaljujoč Microsoftovemu prizadevanju za prihodnost brez gesel, prijava s prstnim odtisom v operacijski sistem Windows zelo razširjena. Ni jasno, ali bo Microsoft odkrite napake lahko popravil sam. Raziskovalci Blackwing Intelligence v vsakem primeru priporočajo, da proizvajalci strojne opreme omogočijo protokol SDCP in da je implementacija senzorja prstnih odtisov pregledana s strani usposobljenega strokovnjaka.