وفقًا لموقع Neowin ، كشف فريق Blackwell Intelligence عن نتائجه في أكتوبر خلال مؤتمر مايكروسوفت للأمن BlueHat، لكنهم لم ينشروا النتائج على موقعهم الإلكتروني إلا هذا الأسبوع. وذكرت المدونة، بعنوان "لمسة من Pwn"، أن الفريق استخدم مستشعرات بصمات الأصابع داخل أجهزة الكمبيوتر المحمولة Dell Inspiron 15 وLenovo ThinkPad T14، بالإضافة إلى أغطية Microsoft Surface Pro Type Covers المزودة بخاصية التعرف على بصمات الأصابع، المصممة خصيصًا لأجهزة Surface Pro 8 وX. صُنعت مستشعرات بصمات الأصابع هذه بواسطة Goodix وSynaptics وELAN.
استغرق بلاكويل حوالي ثلاثة أشهر من البحث لاكتشاف ثغرة أمنية في Windows Hello.
تستخدم جميع مستشعرات بصمات الأصابع الممكّنة بنظام Windows Hello والتي قمنا باختبارها أجهزة تعتمد على شريحة، مما يعني أن المصادقة تتم على المستشعر نفسه، والذي يحتوي على شريحة وتخزين خاصين به.
في بيانه، ذكر بلاكويل أن قاعدة بيانات "نماذج بصمات الأصابع" (البيانات البيومترية التي يلتقطها مستشعر بصمات الأصابع) تُخزَّن على الشريحة ، ويتم التسجيل والمطابقة مباشرةً على الشريحة. وبما أن نماذج بصمات الأصابع لا تُغادر الشريحة أبدًا، فإن هذا يُزيل مخاوف الخصوصية، إذ تُخزَّن البيانات البيومترية بأمان. كما يمنع الهجمات التي تتضمن إرسال صور بصمات أصابع صالحة إلى خادم لمطابقتها.
مع ذلك، نجح بلاكويل في تجاوز النظام باستخدام الهندسة العكسية لاكتشاف ثغرات في مستشعرات بصمات الأصابع، ثم ابتكر جهاز USB خاصًا به قادر على تنفيذ هجوم الوسيط (MitM). مكّن هذا الجهاز المجموعة من تجاوز أجهزة مصادقة بصمات الأصابع في تلك الأجهزة.
قال بلاكويل أيضًا إنه على الرغم من استخدام مايكروسوفت لبروتوكول اتصال الجهاز الآمن (SDCP) لتوفير قناة آمنة بين الخادم وجهاز القياسات الحيوية، إلا أن اثنين من أجهزة استشعار بصمات الأصابع الثلاثة التي تم اختبارها لم تُفعّل SDCP. ويوصي بلاكويل جميع شركات أجهزة استشعار بصمات الأصابع بتفعيل SDCP على منتجاتها، والتأكد من عمل هذه التقنية من قِبل شركة خارجية.
تجدر الإشارة إلى أن بلاكويل استغرق حوالي ثلاثة أشهر من الجهد لتجاوز مشكلة أجهزة استشعار بصمات الأصابع. وبناءً على هذا البحث، ليس من الواضح كيف ستُصلح مايكروسوفت وشركات مستشعرات بصمات الأصابع الأخرى هذه المشكلة.
[إعلان 2]
رابط المصدر
تعليق (0)