Windows笔记本用户注意!据最新消息,Microsoft的 Windows Hello 指纹认证遭到破解,Dell、Lenovo和Microsoft的笔记本都受到影响。
Blackwing Intelligence 的安全研究人员发现了三款最受欢迎的指纹传感器的多个漏洞,这些传感器被企业广泛用于通过 Windows Hello 指纹身份验证保护笔记本。
据悉,Microsoft的攻防研究和安全工程(MORSE)团队邀请 Blackwing Intelligence 评估指纹传感器的安全性。该团队选择了来自 Goodix、Synaptics 和 ELAN 的三款流行的指纹传感器作为研究对象,最近在一篇博客文章中详细介绍了构建一个可以执行中间人攻击(MitM)的 USB 设备的过程。这种攻击可以提供对被盗笔记本的访问,甚至对无人看管的设备进行“Evil Maid(邪恶女仆)”攻击。
受影响的笔记本有Dell Inspiron 15、Lenovo ThinkPad T14 和Microsoft Surface Pro X 。只要有人以前在设备上使用过指纹身份验证,研究人员就可以绕过 Windows Hello 保护。
Blackwing Intelligence 的研究人员对软件和硬件进行了逆向工程,发现了 Synaptics 传感器上一个自定义 TLS 的加密实现缺陷。绕过 Windows Hello 的复杂过程还涉及到解码和重新实现专有协议。
其实这并不是 Windows Hello 基于生物特征的认证第一次被击败。Microsoft在 2021 年被迫修复了一个 Windows Hello 认证绕过漏洞,这个漏洞通过拍摄受害者的红外图像来欺骗 Windows Hello 的面部识别功能。
目前还不清楚Microsoft是否能够单独修复这些最新的漏洞。
