اكتشف باحثو الأمن في Blackwing Intelligence عدة ثغرات أمنية في أجهزة استشعار بصمات الأصابع الثلاثة الأولى المضمنة في أجهزة الكمبيوتر المحمولة، والتي تستخدمها المؤسسات على نطاق واسع لمصادقة بصمة الإصبع Windows Hello لضمان أمان الكمبيوتر المحمول. تم تجاوز التحقق من بصمة الإصبع Windows Hello من Microsoft على أجهزة الكمبيوتر المحمولة من Dell وLenovo وحتى Microsoft.
طلبت شركة Microsoft للبحوث الهجومية وهندسة الأمن (MORSE) من شركة Blackwing Intelligence تقييم أمان أجهزة استشعار بصمات الأصابع، وقدم الباحثون النتائج التي توصلوا إليها خلال عرض تقديمي في مؤتمر Blue Hat لشركة Microsoft في أكتوبر. استهدف فريق البحث أجهزة استشعار بصمات الأصابع الشائعة من شركات مثل Goodix وSynaptics وELAN، وفي منشور مدونة حديث قام بتفصيل العملية المتعمقة لبناء جهاز USB يمكنه تنفيذ هجمات الرجل في الوسط (MitM). يمكن لهذا الهجوم الوصول إلى أجهزة الكمبيوتر المحمولة المسروقة أو حتى شن هجمات "الخادمة الشريرة" ضد الأجهزة غير المراقبة.
أجرى الباحثون في Dell Inspiron 15 وLenovo ThinkPad T14 وMicrosoft Surface Pro في Blackwing Intelligence هندسة عكسية للبرامج والأجهزة واكتشفوا خللًا في تنفيذ تشفير TLS المخصص على أجهزة استشعار Synaptics. تتضمن العملية المعقدة لتجاوز Windows Hello أيضًا فك تشفير البروتوكولات الخاصة وإعادة تنفيذها.
بفضل سعي Microsoft لتطبيق Windows Hello والمستقبل بدون كلمة مرور، تُستخدم الآن مستشعرات بصمات الأصابع على نطاق واسع من قبل مستخدمي أجهزة الكمبيوتر المحمول التي تعمل بنظام Windows. كشفت Microsoft منذ ثلاث سنوات أن ما يقرب من 85% من المستهلكين يستخدمون Windows Hello لتسجيل الدخول إلى الأجهزة التي تعمل بنظام Windows 10، بدلاً من استخدام كلمة المرور (ومع ذلك، تعتبر Microsoft رمز PIN البسيط بمثابة استخدام Windows Hello).
هذه ليست المرة الأولى التي يتم فيها اختراق مصادقة Windows Hello البيومترية. في عام 2021، اضطرت Microsoft إلى إصلاح ثغرة أمنية في تجاوز مصادقة Windows Hello والتي تضمنت التقاط صورة بالأشعة تحت الحمراء للضحية لخداع ميزة التعرف على الوجه في Windows Hello.
ومع ذلك، فمن غير الواضح ما إذا كانت مايكروسوفت قادرة على إصلاح هذه الثغرات الأمنية الأخيرة وحدها. في تقرير متعمق حول الثغرات الأمنية، كتب جيسي داجوانو وتيمو تيراس، الباحثان في Blackwing Intelligence: "قامت Microsoft بعمل جيد في تصميم بروتوكول اتصال الأجهزة الآمنة (SDCP) لتوفير قناة آمنة بين المضيف وجهاز القياس الحيوي، ولكن لسوء الحظ، يبدو أن الشركات المصنعة للأجهزة قد أساءت فهم بعض هذه الأهداف. علاوة على ذلك، لا يغطي SDCP سوى نطاق تشغيل ضيق جدًا من الأجهزة النموذجية، وتكشف معظم الأجهزة عن سطح هجوم كبير ولا يغطيها SDCP على الكل."
ووجد الباحثون أن اثنين من الأجهزة الثلاثة التي استهدفوها لم يتم تمكين حماية SDCP الخاصة بشركة Microsoft. توصي Blackwing Intelligence الآن بأن يتأكد مصنعو المعدات الأصلية من تمكين SDCP وأن تتم مراجعة تطبيقات مستشعر بصمات الأصابع من قبل خبراء مؤهلين. تستكشف Blackwing Intelligence أيضًا هجمات تلف الذاكرة على البرامج الثابتة لأجهزة الاستشعار وحتى أمان مستشعر بصمات الأصابع على أجهزة Linux وAndroid وApple.