משתמשי Windows התרגשו לראות מכשירים עם מערכת אימות ביומטרית המבוססת על טביעת האצבע (Fingerprint), בדומה ל-Touch ID הקיימת במחשבי הנייד והמחשבים של Apple. הבעיה היא שהדברים לא מתרחשים כל כך טוב ב-Windows, כשזוהו חולשות ב-Windows Hello באימות טביעת האצבע במחשבי נייד בסדר גבוה.
חוקרי אבטחה חשפו כי מערכת אימות טביעות האצבע Windows Hello, קיים בשלושה מהמחשבים הניידים הפופולריים ביותר Windows, אינו מספק את רמת האבטחה הצפויה. לבקשת מיקרוסופט, חברת אבטחת הסייבר Blackwing Intelligence ערכה בדיקות חדירה, ומצאה שכל שלושת המחשבים הניידים נכשלו במבחנים אלו.
למרות העובדה שה-Microsoft Surface עבר בדיקות, התברר שהוא הפגיע ביותר מבין השלושה modeבדק אותם, מה שאפשר לעקוף קל של אימות ביומטרי של טביעת אצבע Windows Hello.
צוות המחקר של מיקרוסופט (MORSE) ביקש במפורש את הערכת האבטחה עבור חיישני טביעות האצבע בעלי הביצועים הטובים ביותר המוטמעים במחשבים ניידים, אך התוצאות הראו נקודות תורפה מרובות שניצלו בהצלחה על ידי הצוות. כל מחשב נייד, כולל Dell Inspiron 15 ו-Lenovo ThinkPad T14, דרשו גישות שונות כדי לעקוף פרוטוקולי אבטחה קיימים.
הפגיעות הללו Windows Hello על אימות טביעת אצבע מדגיש את החשיבות המתמשכת של שיפור מערכות האימות כדי להבטיח רמת אבטחה מוגברת.
קופרינים
חולשות ב-Windows Hello באימות טביעת האצבע ב-Dell Inspiron 15
Dell Inspiron 15 מציג נקודות תורפה משמעותיות Windows Hello לאימות טביעת אצבע. כאשר המכשיר מופעל פנימה Windows, הוא עוקב אחר פרוטוקולי אבטחה מלאים, כולל Secure Device Connection Protocol (SDCP). פרוטוקולים אלה מבצעים בדיקות חיוניות, כגון הבטחת שהמארח מתקשר עם מכשיר מהימן ושנתוני טביעת אצבע אינם מאוחסנים או מועברים. עם זאת, הצוות שבדק נקודות תורפה Windows Hello שמתי לב שבזמן הגישה לקורא טביעות האצבע Windows משתמש ב-SDCP, גישה ל Linux לֹא. והם קיבלו רעיון.
על ידי הפעלת מכשיר היעד פנימה Linux ושימוש לוואי Linux כדי להזין את טביעת האצבע של התוקף למסד הנתונים על ידי ציון אותו מזהה של משתמש לגיטימי שנכנס באמצעות Windows, הצוות זיהה פגיעות. למרות שניסיון זה לא צלח בתחילה, שכן התגלו מסדי נתונים נפרדים על שבב Windows סי Linux, ניתן היה לקבוע כיצד Windows ידע לאיזה מסד נתונים לגשת והצליח להפנות אותו לזה שעליו Linux.
זה פתח את הדרך לפתרון הבא, הכולל התקפה Man in the Middle (MitM). להלן השלבים של פגיעות זו Windows Hello בהפעלת אימות טביעת אצבע Dell Inspiron 15.
1. המערכת מופעלת Linux.
2. רשומים מזהים תקפים. אז אלה שניתן להסמיך נקבעים.
3. מתבצעת רישום של טביעת האצבע של התוקף באמצעות אותו זיהוי של משתמש לגיטימי Windows.
4. הקלד התקפה Man in the Middle (MitM) על החיבור בין המארח לחיישן.
5. הפעל את המערכת פנימה Windows.
6. יירוט וכתיבה מחדש של חבילת התצורה כדי להצביע על מסד הנתונים Linux באמצעות מתקפת MitM.
7. האימות נעשה כמשתמש לגיטימי עם טביעת האצבע של התוקף.
שיטה פשוטה יחסית לסוג המשתמש שיש לו ידע ממוצע בארכיטקטורת מערכות ההפעלה Linux ומערכות Windows.
באשר ל-Microsoft Surface Pro 8/X, הפגיעות קלה עוד יותר לניצול.
חולשה ב-Fingerprint ID ב-Microsoft Surface Pro Type Cover
לגבי הפגיעות שזוהתה על Microsoft Surface Pro Type Cover עם מזהה טביעת אצבע, צוות המחקר ציפה שמוצר רשמי של Microsoft יציג את דרגת הקושי הגבוהה ביותר, אך הם נדהמו לגלות אבטחה חלשה להפליא. במקרה זה, היעדר פרוטוקול Secure Device Connection (SDCP) ניכר, יחד עם תקשורת USB בטקסט ברור (לא מוצפן) והיעדר אימות.
עם חוסר האבטחה הזה, הצוות גילה שהם יכולים פשוט לנתק את חיישן טביעת האצבע ולחבר את המכשיר שלהם כדי לחקות אותו. ההליך כלל ניתוק כיסוי ה-Type (הנהג אינו יכול להתמודד עם שני חיישנים מחוברים, הופך לא יציב), חיבור התקן התקיפה, קידום ה-VID/PID של החיישן, צפייה ב-SID התקף מהנהג Windows, עובר את ההמחאה "how many fingerprints" והפעלת אימות טביעת אצבע במערכת Windows, ולאחר מכן שליחת תגובת התחברות חוקית מהמכשיר המזויף.
לסיכום, הפגיעות הללו Windows Hello על אימות טביעת אצבע הצביע על הפגיעויות המשמעותיות שיכולות להתקיים ביישום מערכות אימות ביומטריות.
מידע נוסף: כיצד להשבית אימות באמצעות Windows Hello קוד PIN, פנים וטביעת אצבע בפנים Windows 10
מהו ה-Windows Hello?
הוצג לראשונה עם יציאת מערכת ההפעלה Windows 10 וממשיכים לספק פונקציונליות משופרת במחשבים שולחניים ומחשבים ניידים Windows 11, Windows Hello היא דרך מהירה ובטוחה יותר לקבל גישה מיידית למכשירים Windows.
מערכת אימות מתקדמת זו מעניקה לך את היכולת לגשת למכשירים שלך Windows 11 באמצעות קוד PIN, זיהוי פנים או טביעת אצבע. כדי לנצל את האפשרויות הללו, עליך להגדיר קוד PIN במהלך אתחול טביעת אצבע או זיהוי פנים, אך תוכל גם לבצע אימות באמצעות ה-PIN בלבד.
אפשרויות אלה לא רק מקלות משמעותית על תהליך הכניסה למחשב, אלא גם הופכות אותו לאבטח יותר, מכיוון שה-PIN שלך משויך למכשיר אחד בלבד ומגובה לשחזור דרך חשבון Microsoft שלך.
