Το σύστημα ασφαλείας της Microsoft που βασίζεται σε δακτυλικά αποτυπώματα Windows Hello υπονομεύτηκε ξανά. Είναι η δεύτερη φορά που συμβαίνει αυτό από το 2021. Είναι καλύτερα να επιστρέψουμε στους παλιούς κωδικούς πρόσβασης;
Όσοι πίστευαν ότι ο έλεγχος ταυτότητας μέσω βιομετρικών δεδομένων ήταν ο πιο ασφαλής και θα τους επέτρεπε τελικά να εγκαταλείψουν το δυσκίνητο σύστημα κωδικών πρόσβασης (το οποίο πρέπει να είναι διαφορετικό, να αλλάζει περιοδικά και, προφανώς, να θυμάται) και τον συνδυασμό κωδικού πρόσβασης και pin (ίδια προβλήματα) θα παραμένουν απογοητευμένοι από την τελευταία έκθεση ερευνητών της Blackwing Intelligence, στους οποίους ανατέθηκε η Επιθετική Έρευνα και Μηχανική Ασφάλειας της Microsoft (MORSE) να αξιολογήσει την ασφάλεια των αισθητήρων δακτυλικών αποτυπωμάτων. Λοιπόν, το Windows Hello δεν βγήκε πολύ καλά.
ΤΑ ΠΑΡΑΘΥΡΑ ΓΕΙΑ ΣΑΣ ΕΛΑΣΗ
Ο έλεγχος ταυτότητας με δακτυλικά αποτυπώματα Windows Hello της Microsoft έχει στην πραγματικότητα παρακαμφθεί σε Dell, Lenovo και, φαίνεται αδύνατο, ακόμη και σε φορητούς υπολογιστές της Microsoft. Στις δοκιμές τους, οι ειδικοί στον τομέα της κυβερνοασφάλειας χάκαραν ένα Dell Inspiron 15, ένα Lenovo ThinkPad T14 και ένα Microsoft Surface Pro
Εν ολίγοις, ξεβιδώνετε το μάνταλο του σαρωτή και παρακάμπτετε την προστασία του Windows Hello, υπό την προϋπόθεση – υπογραμμίζεται – ότι κάποιος έχει χρησιμοποιήσει προηγουμένως έλεγχο ταυτότητας με δακτυλικό αποτύπωμα σε μια συσκευή. Ένα όριο που προφανώς δεν είναι τέτοιο όριο, δεδομένου ότι είναι ευκολότερο για έναν εισβολέα να εισβάλει σε μια χρησιμοποιημένη συσκευή για να κλέψει δεδομένα παρά σε μια νέα από το εργοστάσιο. Οι ερευνητές της Blackwing Intelligence εξήγησαν ότι έκαναν αντίστροφη μηχανική τόσο του λογισμικού όσο και του υλικού, αποκαλύπτοντας ταυτόχρονα ελαττώματα κρυπτογραφικής εφαρμογής σε ένα προσαρμοσμένο TLS στον αισθητήρα Synaptics, με την αποκωδικοποίηση και την εκ νέου υλοποίηση ιδιόκτητων πρωτοκόλλων.
ΠΟΙΟΥΣ ΦΤΑΙΕΙ;
«Η Microsoft έκανε καλή δουλειά σχεδιάζοντας το Πρωτόκολλο Σύνδεσης Ασφαλούς Συσκευής (SDCP) για να παρέχει ένα ασφαλές κανάλι μεταξύ του κεντρικού υπολογιστή και των βιομετρικών συσκευών, αλλά δυστυχώς οι κατασκευαστές συσκευών φαίνεται να έχουν παρεξηγήσει ορισμένους από τους στόχους», αναφέρει η κάρτα αναφοράς του Jesse. D'Aguanno και Timo Teräs, ερευνητές της Blackwing Intelligence. «Επιπλέον, το SDCP καλύπτει μόνο ένα πολύ στενό εύρος λειτουργίας μιας τυπικής συσκευής, ενώ οι περισσότερες συσκευές έχουν μια σημαντική εκτεθειμένη επιφάνεια επίθεσης που δεν καλύπτεται καθόλου από το SDCP».
Οι ερευνητές διαπίστωσαν ότι η προστασία SDCP της Microsoft δεν ήταν ενεργοποιημένη σε δύο από τις τρεις στοχευμένες συσκευές. Η Blackwing Intelligence συνιστά στους OEM να διασφαλίζουν ότι το SDCP είναι ενεργοποιημένο και ότι η εφαρμογή του αισθητήρα δακτυλικών αποτυπωμάτων επαληθεύεται από έναν ειδικευμένο ειδικό.
ΤΟ ΠΡΟΗΓΟΥΜΕΝΟ ΓΙΑ ΤΟ 2021
Το εξειδικευμένο περιοδικό The Verge επισημαίνει ότι δεν είναι η πρώτη φορά που ο έλεγχος ταυτότητας που βασίζεται στα βιομετρικά στοιχεία του Windows Hello έχει νικηθεί. Η Microsoft αναγκάστηκε να επιδιορθώσει μια ευπάθεια ελέγχου ταυτότητας Windows Hello το 2021, μετά από μια απόδειξη της ιδέας που περιελάμβανε τη λήψη μιας υπέρυθρης εικόνας ενός θύματος για να παραποιήσει τη δυνατότητα αναγνώρισης προσώπου του Windows Hello.
ΤΙ ΣΥΜΠΕΡΑΣΜΑ;
Όπως είναι φυσικό, παρόμοιες μελέτες είναι πιο χρήσιμες σε όσους αναπτύσσουν λογισμικό και παράγουν υλικό παρά σε μεμονωμένους χρήστες. Αυτό συμβαίνει γιατί οι πρώτοι πρέπει να αυξάνουν συνεχώς τις αμυντικές τους προσπάθειες, ενώ οι δεύτεροι δεν είναι πάντα εκτεθειμένοι σε συγκεκριμένες απειλές. Σε αυτήν την περίπτωση, για παράδειγμα, για να υπονομευτεί το σύστημα ασφαλείας απαιτείται η εργασία ενός ειδικού χάκερ. Μια σκέψη που δεν θα φτιάξει τη διάθεση όλων.
Επίσης, επειδή η Blackwing Intelligence εργάζεται ήδη για να μελετήσει επιθέσεις καταστροφής μνήμης στο υλικολογισμικό του αισθητήρα και επίσης την ασφάλεια του αισθητήρα δακτυλικών αποτυπωμάτων σε συσκευές Linux, Android και Apple. Εν ολίγοις, ο αιώνιος αγώνας μεταξύ κατασκευαστών κλειδαριών και κλεφτών που ακολουθεί τον άνθρωπο από την αυγή της ιστορίας συνεχίζεται.
Αυτή είναι μια αυτόματη μετάφραση μιας ανάρτησης που δημοσιεύτηκε στο Start Magazine στη διεύθυνση URL https://www.startmag.it/innovazione/vi-racconto-tutte-le-falle-di-windows-hello-di-microsoft/ στις Fri, 24 Nov 2023 07:38:56 +0000.