Đã tìm ra cách hack thành công xác thực vân tay Windows Hello

www.tuoitre.vn -   22/11/2023 12:00:00 241

Đăng nhập vào laptop Windows bằng cách quét vân tay thật dễ dàng; chỉ cần đặt ngón tay của bạn lên máy scan và hệ điều hành sẽ cho phép bạn truy cập. Tuy nhiên, các nhà nghiên cứu đã chỉ ra rằng, mặc dù phương pháp này tiện lợi nhưng nó không có khả năng chống hack.

Đã tìm ra cách hack thành công xác thực vân tay Windows Hello

Vậy làm thế nào hacker có thể hack thành công xác thực vân tay Windows Hello và bạn có nên lo lắng về điều đó không?

Một nhóm bảo mật được Microsoft thuê để kiểm tra tổng quan về phần cứng và phần mềm xác thực dấu vân tay Windows Hello mới đây đã chia sẻ thông tin về việc họ có thể hack thành công dịch vụ này trên một số máy tính xách tay, bao gồm cả các sản phẩm Microsoft Surface.

Nhóm hacker mũ trắng này có tên Blackwing Intelligence, đã tiết lộ những phát hiện của mình vào tháng 10 trong khuôn khổ hội nghị bảo mật BlueHat của Microsoft. Nhưng phải đến bây giờ, thông tin chi tiết về vấn đề mới được nhóm chia sẻ đầy đủ.

Trong một bài đăng trên blog có tiêu đề "A Touch of Pwn", Blackwing Intelligence cho biết nhóm đã sử dụng cảm biến vân tay bên trong máy tính xách tay Dell Inspiron 15 và Lenovo ThinkPad T14, cùng với Microsoft Surface Pro Type Cover với Fingerprint ID được tạo cho Surface Surface Pro 8 và X. Những cảm biến vân tay này được sản xuất bởi Goodix, Synaptics và ELAN.

https://kaspersky.proguide.vn/bao-mat-cong-nghe/da-tim-ra-cach-hack-thanh-cong-xac-thuc-van-tay-windows-hello/

Tất cả các cảm biến vân tay hỗ trợ Windows Hello được sử dụng trong thử nghiệm đều được tích hợp hệ thống phần cứng "match on chip", có nghĩa là việc xác thực được xử lý trên chính cảm biến có bộ vi xử lý và bộ lưu trữ riêng. Blackwing cho biết:

Cơ sở dữ liệu về “mẫu vân tay” (dữ liệu sinh trắc học mà cảm biến vân tay thu được) được lưu trữ trên chip, việc đăng ký và so khớp được thực hiện trực tiếp trong chip. Vì các mẫu dấu vân tay không bao giờ rời khỏi chip nên điều này giúp loại bỏ những lo ngại về quyền riêng tư khi dữ liệu sinh trắc học được lưu trữ và có khả năng bị lấy ra khỏi máy chủ — ngay cả khi máy chủ bị xâm phạm. Cách tiếp cận này cũng ngăn chặn các cuộc tấn công chỉ liên quan đến việc gửi hình ảnh dấu vân tay hợp lệ đến máy chủ để đối chiếu.

Blackwing đã sử dụng kỹ thuật đảo ngược để tìm ra lỗ hổng trong cảm biến vân tay, và sau đó tạo ra thiết bị USB của riêng họ có thể thực hiện cuộc tấn công trung gian (MitM). Điều này cho phép họ bỏ qua phần cứng xác thực dấu vân tay trong các thiết bị đó.

Nhóm hacker cũng chỉ ra rằng mặc dù Microsoft sử dụng Secure Device Connection Protocol (SDCP) "để cung cấp kênh kết nối an toàn giữa máy chủ và thiết bị sinh trắc học", nhưng hai trong số ba cảm biến vân tay đã được thử nghiệm thậm chí không bật SDCP. Blackwell khuyến nghị tất cả các công ty cảm biến vân tay không chỉ kích hoạt SDCP trên sản phẩm của họ mà còn phải nhờ công ty bên thứ ba đảm bảo rằng giao thức này thực sự hoạt động.

TIN CÙNG CHUYÊN MỤC

Khi tiện ích mở rộng tốt trở nên tệ hại:...

31/12/2024 08:00:00 125
Tin tức đã trở thành tiêu đề trong suốt cuối tuần về chiến dịch tấn công mở rộng nhắm vào các tiện í...

Hàng chục tiện ích mở rộng của Chrome bị...

30/12/2024 08:00:00 104
Một chiến dịch tấn công mới đã nhắm vào các tiện ích mở rộng trình duyệt Chrome đã biết, khiến ít nh...

Apple bồi thường 95 triệu USD vì Siri ng...

30/12/2024 12:00:00 374
Apple đã lưu trữ bất hợp pháp dữ liệu tương tác giữa người dùng với trợ lý ảo Siri mà không có sự đồ...

Hơn 15.000 Bộ định tuyến Four-Faith bị k...

26/12/2024 08:00:00 41
Theo những phát hiện mới từ Chuyên gia bảo mật, một lỗ hổng nghiêm trọng ảnh hưởng đến một số bộ địn...

Bạn nghĩ sao nếu người dùng ảo là chatbo...

26/12/2024 12:00:00 34
Các chatbot AI đã trở nên rất giống con người trong vòng một năm qua, nghe có vẻ khó chấp nhận nhưng...

Các cuộc tấn công mạng “bẻ khóa” thông t...

25/12/2024 08:00:00 210
Công ty an ninh mạng toàn cầu Kaspersky cho biết đã ngăn chặn hơn 23 triệu cuộc tấn công bruteforce ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ

Zalo Button