微軟Windows Hello指紋認(rèn)證被破解，多款筆記本電腦受影響

IT之家 11 月 22 日消息，微軟的 Windows Hello 指紋認(rèn)證已經(jīng)被破解，戴爾、聯(lián)想和微軟的筆記本電腦都受到影響。Blackwing Intelligence 的安全研究人員發(fā)現(xiàn)了三款最受歡迎的指紋傳感器的多個(gè)漏洞，這些傳感器被企業(yè)廣泛用于通過(guò) Windows Hello 指紋身份驗(yàn)證保護(hù)筆記本電腦。

微軟的攻防研究和安全工程（MORSE）團(tuán)隊(duì)邀請(qǐng) Blackwing Intelligence 評(píng)估指紋傳感器的安全性，研究人員在 10 月份的微軟 BlueHat 會(huì)議上展示了他們的研究成果。該團(tuán)隊(duì)選擇了來(lái)自 Goodix、Synaptics 和 ELAN 的三款流行的指紋傳感器作為研究對(duì)象，最近在一篇博客文章中詳細(xì)介紹了構(gòu)建一個(gè)可以執(zhí)行中間人攻擊（MitM）的 USB 設(shè)備的過(guò)程。這種攻擊可以提供對(duì)被盜筆記本電腦的訪問(wèn)，甚至對(duì)無(wú)人看管的設(shè)備進(jìn)行“Evil Maid（邪惡女仆）”攻擊。

戴爾 Inspiron 15、聯(lián)想 ThinkPad T14 和微軟 Surface Pro X 都是指紋識(shí)別攻擊的受害者，只要有人以前在設(shè)備上使用過(guò)指紋身份驗(yàn)證，研究人員就可以繞過(guò) Windows Hello 保護(hù)。Blackwing Intelligence 的研究人員對(duì)軟件和硬件進(jìn)行了逆向工程，發(fā)現(xiàn)了 Synaptics 傳感器上一個(gè)自定義 TLS 的加密實(shí)現(xiàn)缺陷。繞過(guò) Windows Hello 的復(fù)雜過(guò)程還涉及到解碼和重新實(shí)現(xiàn)專有協(xié)議。

指紋傳感器現(xiàn)在被 Windows 筆記本電腦廣泛使用，這要?dú)w功于微軟對(duì) Windows Hello 和無(wú)密碼未來(lái)的推動(dòng)。微軟在三年前透露，近 85% 的消費(fèi)者使用 Windows Hello 來(lái)登錄 Windows 10 設(shè)備，而不是使用密碼（微軟將使用簡(jiǎn)單的 PIN 碼也算作使用 Windows Hello）。

IT之家注意到，這并不是 Windows Hello 基于生物特征的認(rèn)證第一次被擊敗。微軟在 2021 年被迫修復(fù)了一個(gè) Windows Hello 認(rèn)證繞過(guò)漏洞，這個(gè)漏洞通過(guò)拍攝受害者的紅外圖像來(lái)欺騙 Windows Hello 的面部識(shí)別功能。

目前還不清楚微軟是否能夠單獨(dú)修復(fù)這些最新的漏洞。