Windows Hello di Microsoft non è così sicuro come ci si aspettava
Un'azienda di sicurezza scopre delle falle nei sensori di impronte digitali ed è riuscita ad accedere ai computer portatili Windows. A quanto pare, questo risultato è stato ottenuto senza grandi sforzi.
Da Windows 10, gli utenti utilizzano la tecnologia "Windows Hello" per accedere ai loro dispositivi. Oltre al codice PIN, gli utenti possono autenticarsi anche con mezzi biometrici, come l'impronta digitale. Dato che esistono numerosi produttori di portatili Windows, vengono utilizzati anche sensori di impronte digitali diversi.
Tuttavia, questo sistema di autenticazione non è sufficiente.
Tuttavia, sembra che questo metodo di autenticazione possa essere aggirato con mezzi relativamente semplici. Lo ha scoperto la società di sicurezza "Blackwing". Il motivo è da ricercare in alcune vulnerabilità presenti in diversi sensori di impronte digitali.
Il dispositivo USB aggira il blocco delle impronte digitali
I sensori di impronte digitali interessati provengono dai produttori Goodix, Synaptics ed ELAN. I loro sensori sono utilizzati nei computer portatili di Dell, Lenovo e Microsoft, tra gli altri. Blackwing è stata incaricata da Microsoft di indagare su un Dell Inspiron 15, un Lenovo ThinkPad T14 e un Surface Pro X di Microsoft.
Fonte: Florian Bodoky
Blackwing è riuscito a scatenare un attacco man-in-the-middle (MITM) utilizzando un dispositivo USB predisposto. Non appena la chiavetta USB veniva inserita, consentiva l'accesso al notebook se il login tramite impronta digitale era attivato. Si stima che questo avvenga per l'85 percento dei notebook, anche perché Microsoft sta promuovendo con forza la tecnologia passkey. Il MITM ha avuto luogo nell'interfaccia tra lo scanner di impronte digitali e l'host, dove Blackwing è stato in grado di localizzarlo.
Secondo l'azienda, questo suggerisce che la vulnerabilità non è interamente colpa di Microsoft. L'azienda ha infatti sviluppato il Secure Device Connection Protocol (SDCP) per lo scambio sicuro di dati tra il sensore e l'host. Secondo Blackwing, i produttori non capiscono bene come funziona l'SDCP. Il protocollo non era nemmeno attivato su due dei tre dispositivi testati. Blackwing raccomanda ai produttori di notebook di assicurarsi che l'SDCP sia attivato e implementato correttamente nel sensore di impronte digitali.
Microsoft, invece, è in svantaggio per quanto riguarda la vulnerabilità. Tuttavia, deve anche guardarsi le spalle: Anche il Surface Pro X è stato uno dei notebook su cui non è stato attivato l'SDCP.
Immagine di copertina. Shutterstock
Da quando ho scoperto come attivare entrambi i canali telefonici sulla scheda ISDN per ottenere una maggiore larghezza di banda, sperimento con le reti digitali. Con quelle analogiche, invece, da quando so parlare. A Winterthur per scelta, con il cuore rossoblu.