Защитата на пръстови отпечатъци на Windows не е надеждна

Blackwing Intelligence, компания, специализирана в ИТ сигурността, оцени надеждността на технологията Windows Hello при използване на скенер за пръстови отпечатъци.

На конференцията на Microsoft BlueHat изследователите представиха своя доклад: както се оказа, всичко е наред със защитата на самата операционна система - което не може да се каже за самите скенери, произведени от производители на трети страни.

По време на тестването изследователите без проблем хакнаха скенерите за пръстови отпечатъци на три лаптопа: Dell Inspiron 15, Lenovo ThinkPad T14 и Microsoft Surface Pro X. Те успяха да заобиколят удостоверяването на Windows Hello, използвайки недостатъци в прилагането на протокола TLS на скенера Synaptics. В същото време те нямаха оплаквания относно нивото на защита на самия Windows.

„Microsoft свърши добра работа с разработването на Secure Device Connectivity Protocol (SDCP), за да осигури защитен канал между хоста и биометричните устройства. За съжаление производителите на устройства изглежда не разбират как работи. „В допълнение, SDCP покрива само много тясна област от скенера, докато повечето устройства имат по-широка повърхност за атака, която SDCP не покрива“, казаха изследователите.

С други думи, Microsoft вероятно няма да може да реши проблема сам - много зависи от самите производители на лаптопи.