微軟Windows Hello指紋認證被破解，多款筆記本電腦受影響

IT之家 11 月 22 日消息，微軟的 Windows Hello 指紋認證已經被破解，戴爾、聯想和微軟的筆記本電腦都受到影響。Blackwing Intelligence 的安全研究人員發現了三款最受歡迎的指紋傳感器的多個漏洞，這些傳感器被企業廣泛用于通過 Windows Hello 指紋身份驗證保護筆記本電腦。

微軟的攻防研究和安全工程（MORSE）團隊邀請 Blackwing Intelligence 評估指紋傳感器的安全性，研究人員在 10 月份的微軟 BlueHat 會議上展示了他們的研究成果。該團隊選擇了來自 Goodix、Synaptics 和 ELAN 的三款流行的指紋傳感器作為研究對象，最近在一篇博客文章中詳細介紹了構建一個可以執行中間人攻擊（MitM）的 USB 設備的過程。這種攻擊可以提供對被盜筆記本電腦的訪問，甚至對無人看管的設備進行“Evil Maid（邪惡女仆）”攻擊。

戴爾 Inspiron 15、聯想 ThinkPad T14 和微軟 Surface Pro X 都是指紋識別攻擊的受害者，只要有人以前在設備上使用過指紋身份驗證，研究人員就可以繞過 Windows Hello 保護。Blackwing Intelligence 的研究人員對軟件和硬件進行了逆向工程，發現了 Synaptics 傳感器上一個自定義 TLS 的加密實現缺陷。繞過 Windows Hello 的復雜過程還涉及到解碼和重新實現專有協議。

指紋傳感器現在被 Windows 筆記本電腦廣泛使用，這要歸功于微軟對 Windows Hello 和無密碼未來的推動。微軟在三年前透露，近 85% 的消費者使用 Windows Hello 來登錄 Windows 10 設備，而不是使用密碼（微軟將使用簡單的 PIN 碼也算作使用 Windows Hello）。

IT之家注意到，這并不是 Windows Hello 基于生物特征的認證第一次被擊敗。微軟在 2021 年被迫修復了一個 Windows Hello 認證繞過漏洞，這個漏洞通過拍攝受害者的紅外圖像來欺騙 Windows Hello 的面部識別功能。

目前還不清楚微軟是否能夠單獨修復這些最新的漏洞。