Feltörhető a Windows ujjlenyomatos hitelesítése

Gyors tempóban haladunk a klasszikus jelszavak lecserélése felé, így biztonsági körökben egyre inkább górcső alá kerül a leváltásukra használni kívánt hitelesítési módszerek biztonsága. Nemrég csendben fény derült egy csúnya hibára, a Microsoft megbízásából a Blackwing Intelligence biztonsági cég megvizsgálta, hogy milyen módokon lehetnek támadhatóak a Windows 10-es és Windows 11-es laptopok ujjlenyomat-olvasói, továbbá az azokat kezelő Windows Hello keretrendszer.

A munka során a Delltől, a Lenovótól, továbbá a Microsofttól származó laptopokat használtak a kutatók, ezekben Goodix, Synaptics, továbbá ELAN márkájú ujjlenyomat-olvasók vannak. A noteszgépekbe való betörés nem bizonyult triviálisnak, de komplex hardveres és szoftveres elemzéseket követően képesek voltak készíteni egy USB portba dugható kütyüt, ami bármely laptopot fel tud oldani, amelyen már használták belépésre az ujjlenyomat-olvasót, ez közbeékelődéses támadást hajt végre. Ezen túl a Synaptics szenzorában egy további, titkosítással kapcsolatos sebezhetőséget is felfedeztek.

A Blackwing szerint a Microsoft jó munkát végezett az ujjlenyomat-olvasó szenzor és a Windows közti adatkommunikáció biztonságossá tételével. A sikeres hackelés leginkább a laptopgyártók hibája, az ujjlenyomat-olvasók rossz beépítése tette lehetővé a betörést; a cégek mérnökei nem látták át, hogy miként kell ezt jól csinálni.

Egyelőre nem világos, hogy a Microsoft képes-e önmagában megoldani a problémát, nagyon valószínű, hogy az ujjlenyomat-olvasók gyártóinak és a laptopgyártóknak is együtt kell működniük a szükséges szoftverfrissítések elkészítésében és kiadásában.

Ha szeretne még több érdekes techhírt olvasni, akkor kövesse az Origo Techbázis Facebook-oldalát, kattintson ide!