News
Os investigadores de segurança testaram a autenticação de impressão digital usados no Windows Hello em três portáteis – da Dell, da Lenovo e da Microsoft – e conseguiram contorná-la
24/11/2023
|
Os investigadores de segurança da Blackwing Intelligence, um fornecedor de serviços de investigação e engenharia de segurança, e da Offensive Research and Security Engineering (MORSE), da Microsoft, testaram os sensores de impressão digital utilizados no Windows Hello em três portáteis populares e, em cada dispositivo, conseguiram encontrar uma forma de contornar a autenticação. Os três computadores portáteis utilizados na investigação foram um Dell Inspiron 15 com sensor de impressão digital Goodix, um Lenovo ThinkPad T14s com sensor Synaptics, e um Microsoft Surface Pro X com sensor ELAN. Tanto os sensores de impressão digital incorporados como o host foram alvo de ataques de software e hardware. Todos os sensores testados são Match-on-Chip, ou seja, o chip possui microprocessador e memória, e os dados da impressão digital nunca saem do sensor. Desta forma, o próprio chip precisa de ser atacado para contornar a autenticação. Além disto, o ataque requer acesso físico ao dispositivo alvo, o que significa que o invasor necessitaria de roubar o equipamento ou recorrer o método de ‘evil maid’ (‘empregada malvada’). Os ataques testados pelos investigadores de segurança foram realizados através da ligação de um dispositivo de hacking aos portáteis, via USB ou conectando o sensor de impressão digital a um equipamento especialmente criado. Nos testes realizados com os portáteis da Dell e da Lenovo, a autenticação de impressão digital do Windows Hello foi contornada através da enumeração de ID válidos associados às impressões digitais do utilizador e através do registo da impressão digital do invasor, falsificando o ID de um utilizador legítimo. Já no caso do dispositivo Surface, o invasor precisou de desconectar a Type Cover – que é essencialmente o teclado e que inclui o sensor de impressão de digital – e ligar um dispositivo USB que consiga falsificar o sensor de impressão digital, instruindo o sistema de que um utilizador autorizado está a fazer o login. |
Receba todas as novidades na sua caixa de correio!
NEWS
CrowdStrike resolve problema que impacta serviços a nível a mundial
OPINION
Reforçar a cibersegurança com NIS2
ANALYSIS
Maioria das empresas não tem fortes proteções anti-phishing
S.LABS
Inteligência Artificial: um caminho sem retorno focado na antecipação e adaptação
ANALYSIS
Falha na CrowdStrike impactou 8,5 milhões de dispositivos
NEWS
CrowdStrike resolve problema que impacta serviços a nível a mundial
NEWS
CNCS e PJ reforçam cooperação
NEWS
Ciber-riscos relacionados com os Jogos Olímpicos vão ser difundidos na Europa
NEWS
CISA e FBI incitam empresas a eliminar vulnerabilidades de injeção de comando
NEWS
Rússia inicia campanha de influência nas eleições presidenciais dos EUA
