News

Autenticação de impressão digital do Windows Hello contornada em portáteis

Os investigadores de segurança testaram a autenticação de impressão digital usados no Windows Hello em três portáteis – da Dell, da Lenovo e da Microsoft – e conseguiram contorná-la

24/11/2023

Autenticação de impressão digital do Windows Hello contornada em portáteis

Os investigadores de segurança da Blackwing Intelligence, um fornecedor de serviços de investigação e engenharia de segurança, e da Offensive Research and Security Engineering (MORSE), da Microsoft, testaram os sensores de impressão digital utilizados no Windows Hello em três portáteis populares e, em cada dispositivo, conseguiram encontrar uma forma de contornar a autenticação.

Os três computadores portáteis utilizados na investigação foram um Dell Inspiron 15 com sensor de impressão digital Goodix, um Lenovo ThinkPad T14s com sensor Synaptics, e um Microsoft Surface Pro X com sensor ELAN.

Tanto os sensores de impressão digital incorporados como o host foram alvo de ataques de software e hardware. Todos os sensores testados são Match-on-Chip, ou seja, o chip possui microprocessador e memória, e os dados da impressão digital nunca saem do sensor. Desta forma, o próprio chip precisa de ser atacado para contornar a autenticação.

Além disto, o ataque requer acesso físico ao dispositivo alvo, o que significa que o invasor necessitaria de roubar o equipamento ou recorrer o método de ‘evil maid’ (‘empregada malvada’).

Os ataques testados pelos investigadores de segurança foram realizados através da ligação de um dispositivo de hacking aos portáteis, via USB ou conectando o sensor de impressão digital a um equipamento especialmente criado.

Nos testes realizados com os portáteis da Dell e da Lenovo, a autenticação de impressão digital do Windows Hello foi contornada através da enumeração de ID válidos associados às impressões digitais do utilizador e através do registo da impressão digital do invasor, falsificando o ID de um utilizador legítimo.

Já no caso do dispositivo Surface, o invasor precisou de desconectar a Type Cover – que é essencialmente o teclado e que inclui o sensor de impressão de digital – e ligar um dispositivo USB que consiga falsificar o sensor de impressão digital, instruindo o sistema de que um utilizador autorizado está a fazer o login.


NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº16 Fevereiro 2024

IT SECURITY Nº16 Fevereiro 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.