Feltörhető a Windows ujjlenyomatos hitelesítése

microsoft surface pro x
Microsoft Surface Pro X
Vágólapra másolva!
Elsősorban a laptopok gyártói tehetőek felelőssé a kínos helyzetért.
Vágólapra másolva!

Gyors tempóban haladunk a klasszikus jelszavak lecserélése felé, így biztonsági körökben egyre inkább górcső alá kerül a leváltásukra használni kívánt hitelesítési módszerek biztonsága. Nemrég csendben fény derült egy csúnya hibára, a Microsoft megbízásából a Blackwing Intelligence biztonsági cég megvizsgálta, hogy milyen módokon lehetnek támadhatóak a Windows 10-es és Windows 11-es laptopok ujjlenyomat-olvasói, továbbá az azokat kezelő Windows Hello keretrendszer.

Szoftveresen jó munkát végzett az operációs rendszer és a ujjlenyomat-olvasó közti kommunikáció biztonságossá tételével a Microsoft, de még a Surface Pro X tervezői csapata is felsült a védelem implementálásakor Forrás: Microsoft

A munka során a Delltől, a Lenovótól, továbbá a Microsofttól származó laptopokat használtak a kutatók, ezekben Goodix, Synaptics, továbbá ELAN márkájú ujjlenyomat-olvasók vannak. A noteszgépekbe való betörés nem bizonyult triviálisnak, de komplex hardveres és szoftveres elemzéseket követően képesek voltak készíteni egy USB portba dugható kütyüt, ami bármely laptopot fel tud oldani, amelyen már használták belépésre az ujjlenyomat-olvasót, ez közbeékelődéses támadást hajt végre. Ezen túl a Synaptics szenzorában egy további, titkosítással kapcsolatos sebezhetőséget is felfedeztek.

A Blackwing szerint a Microsoft jó munkát végezett az ujjlenyomat-olvasó szenzor és a Windows közti adatkommunikáció biztonságossá tételével. A sikeres hackelés leginkább a laptopgyártók hibája, az ujjlenyomat-olvasók rossz beépítése tette lehetővé a betörést; a cégek mérnökei nem látták át, hogy miként kell ezt jól csinálni.

Ez persze a Microsoft munkatársaira is igaznak bizonyult, hiszen a tesztelés során a Dell Inspiron 15 és a Lenovo ThinkPad T14 mellett a Surface Pro X is elesett.

Egyelőre nem világos, hogy a Microsoft képes-e önmagában megoldani a problémát, nagyon valószínű, hogy az ujjlenyomat-olvasók gyártóinak és a laptopgyártóknak is együtt kell működniük a szükséges szoftverfrissítések elkészítésében és kiadásában.

Ha szeretne még több érdekes techhírt olvasni, akkor kövesse az Origo Techbázis Facebook-oldalát, kattintson ide!

Google News
A legfrissebb hírekért kövess minket az Origo Google News oldalán is!