Аутентифікація по відбитку пальця Microsoft Windows Hello вдалося обійти ноутбуках Dell, Lenovo і навіть Microsoft. Команда обрала для оцінки популярні датчики відбитків пальців від Goodix, Synaptics та ELAN.
У нещодавно опублікованому повідомленні у блозі дослідників докладно описується процес створення USB-пристрою, який можна використовувати для атаки. В результаті можна отримати доступ до вкраденого або навіть просто залишеного без нагляду ноутбука. Злом вдалося виконати на Dell Inspiron 15, Lenovo ThinkPad T14 та Microsoft Surface Pro X.
Сканери відбитків пальців тепер широко використовуються користувачами ноутбуків з Windows завдяки прагненню Microsoft до «майбутнього без паролів». Три роки тому Microsoft повідомила, що майже 85% споживачів використовували Windows Hello для входу на пристрої із Windows 10 замість пароля.
Однак незрозуміло, чи зможе Microsoft виправити виявлені недоліки поодинці. Дослідники у звіті зазначили:
Microsoft зробила хорошу роботу з розробки протоколу безпечного підключення пристроїв (SDCP), щоб забезпечити безпечний канал між хостом та біометричними пристроями, але, на жаль, виробники пристроїв, схоже, неправильно розуміють деякі завдання.
Дослідники виявили, що захист Microsoft SDCP не був включений на двох із трьох пристроїв. Blackwing Intelligence тепер рекомендує OEM-виробникам переконатися, що SDCP увімкнено, і забезпечити перевірку датчика відбитків пальців кваліфікованим експертом.