近日,Blackwing Intelligence 的安全研究人员发现,多款使用 Windows Hello 指纹认证功能的笔记本电脑存在严重的安全漏洞。这些笔记本电脑包括戴尔、联想和微软生产的型号,其指纹传感器的安全性并不如厂商所宣称的那样可靠。
这些笔记本电脑主要使用了 Goodix、Synaptics 和 ELAN 生产的指纹传感器。随着企业逐渐将生物识别技术作为访问设备的主要方式,这些漏洞的出现引起了业界的关注。据报道,三年前,微软宣称其 85%的用户在 Windows 10 设备上选择使用 Windows Hello登录,而不是密码。
在微软攻击性研究与安全工程(MORSE)的要求下,研究人员在 10 月份的 BlueHat 会议上分享了影响指纹认证功能笔记本电脑的多种攻击方式。
其中一种攻击方法是中间人攻击(MitM),可用于访问被盗的笔记本电脑。另一种方法是“恶意女仆”攻击,可用于未受监管的设备。
Blackwing Intelligence 的研究人员测试了戴尔 Inspiron 15、联想 ThinkPad T14 和微软 Surface Pro X,发现只要有人之前使用过指纹访问这些设备,就可以通过各种方法绕过指纹认证。研究人员指出,这种绕过需要对笔记本电脑的硬件和软件进行逆向工程。他们特别发现了 Synaptics 传感器安全层的漏洞。虽然需要解码和重构 Windows Hello 的设置,但研究人员依然成功实施了黑客攻击。
研究人员指出,微软的安全设备连接协议(SDCP)是在生物识别标准中应用安全措施的一次有力尝试。它允许生物识别传感器与笔记本电脑之间进行更安全的通信。然而,并非所有制造商都能够充分实现这一功能,使其有效运作。在研究中检查的三款笔记本电脑中,有两款启用了 SDCP。
Blackwing Intelligence 指出,打造更安全的生物识别笔记本电脑不仅是微软的任务,制造商在启用 SDCP 方面也应采取初步补救措施,以加强 Windows Hello 启用笔记本电脑的安全性。
这项研究是继 2021 年 Windows Hello 面部识别生物特征的安全漏洞之后的又一重大发现。之前的漏洞允许用户通过使用面具或整形手术绕过 Windows Hello 的面部识别认证。微软在研究人员展示了一个概念验证后,被迫更新了其功能。
