Microsoft'un Windows Hello parmak izi kimlik doğrulaması atlandı - Dünyadan Güncel Teknoloji Haberleri

Microsoft'un Windows Hello parmak izi kimlik doğrulaması atlandı - Dünyadan Güncel Teknoloji Haberleri
) saldırı sunum Ekim ayında Microsoft’un BlueHat konferansında “Ek olarak, SDCP tipik bir cihazın çalışmasının yalnızca çok dar bir kapsamını kapsarken çoğu cihaz, SDCP tarafından hiç kapsanmayan oldukça büyük bir saldırı yüzeyine maruz kalır Güvenlik araştırmacıları Blackwing İstihbaratı keşfetti Dizüstü bilgisayarlara yerleştirilmiş olan ve işletmeler tarafından Windows Hello parmak izi kimlik doğrulaması ile dizüstü bilgisayarların güvenliğini sağlamak için yaygın olarak kullanılan en önemli üç parmak izi sensöründe birden fazla güvenlik açığı bulunuyor ” araştırmacılar, kendi ayrıntılı rapor kusurlar üzerinde


Microsoft’un Windows Hello parmak izi kimlik doğrulaması Dell, Lenovo ve hatta Microsoft’un dizüstü bilgisayarlarında atlandı

Microsoft’un Windows Hello’ya ve parolasız bir geleceğe doğru ilerlemesi sayesinde parmak izi sensörleri artık Windows dizüstü bilgisayar kullanıcıları tarafından yaygın olarak kullanılıyor Windows Hello’yu atlatmaya yönelik karmaşık süreç aynı zamanda özel protokollerin kodunun çözülmesini ve yeniden uygulanmasını da içeriyordu Microsoft üç yıl önce bunu açıkladı neredeyse yüzde 85 Tüketicilerin oranı, Windows 10 cihazlarında oturum açmak için parola kullanmak yerine Windows Hello kullanıyor (Ancak Microsoft, basit bir PIN’i Windows Hello kullanmak olarak sayıyor)



genel-2

Böyle bir saldırı, çalınan bir dizüstü bilgisayara erişim sağlayabilir, hatta gözetimsiz bir cihaza “kötü hizmetçi” saldırısı bile sağlayabilir kavramın ispatı Bu, Windows Hello’nun yüz tanıma özelliğini taklit etmek için bir kurbanın kızılötesi görüntüsünün yakalanmasını içeriyordu Ekip, araştırmalarının hedefi olarak Goodix, Synaptics ve ELAN’ın popüler parmak izi sensörlerini belirledi; yeni yayınlanan bir blog yazısı, ortadaki adam (MitM) işlemini gerçekleştirebilecek bir USB cihazı oluşturmanın derinlemesine sürecini ayrıntılarıyla anlatıyor Blackwing Intelligence’dan Jesse D’Aguanno ve Timo Teräs şöyle yazıyor: “Microsoft, ana makine ile biyometrik cihazlar arasında güvenli bir kanal sağlamak amacıyla Güvenli Cihaz Bağlantı Protokolü’nü (SDCP) tasarlayarak iyi bir iş çıkardı; ancak ne yazık ki cihaz üreticileri bazı hedefleri yanlış anlıyor gibi görünüyor

Dell Inspiron 15, Lenovo ThinkPad T14 ve Microsoft Surface Pro X, parmak izi okuyucu saldırılarının kurbanı oldu ve araştırmacıların, birisi daha önce bir cihazda parmak izi kimlik doğrulamasını kullandığı sürece Windows Hello korumasını atlamasına olanak tanıdı

Bu, Windows Hello biyometri tabanlı kimlik doğrulamanın yenilgiye uğradığı ilk sefer değil Blackwing Intelligence artık OEM’lerin SDCP’nin etkinleştirildiğinden emin olmalarını ve parmak izi sensörü uygulamasının kalifiye bir uzman tarafından denetlenmesini sağlamalarını öneriyor

Microsoft’un Saldırı Araştırması ve Güvenlik Mühendisliği (MORSE), Blackwing Intelligence’tan parmak izi sensörlerinin güvenliğini değerlendirmesini istedi ve araştırmacılar bulgularını bir raporda sundular Microsoft, 2021’de Windows Hello kimlik doğrulamasını atlama güvenlik açığını düzeltmek zorunda kaldı ”

Araştırmacılar, hedefledikleri üç cihazdan ikisinde Microsoft’un SDCP korumasının etkinleştirilmediğini buldu

Ancak Microsoft’un bu son kusurları tek başına düzeltip çözemeyeceği belli değil Blackwing Intelligence aynı zamanda sensör donanım yazılımına ve hatta Linux, Android ve Apple cihazlarındaki parmak izi sensörü güvenliğine yönelik bellek bozulması saldırılarını da araştırıyor Blackwing Intelligence araştırmacıları hem yazılım hem de donanım üzerinde tersine mühendislik uyguladılar ve Synaptics sensöründeki özel bir TLS’de kriptografik uygulama kusurları keşfettiler

Popular Articles

Other Articles