Redian新闻
>
微软Windows Hello指纹认证被破解 多款笔记本电脑受影响

微软Windows Hello指纹认证被破解 多款笔记本电脑受影响

公众号新闻

点击蓝字 关注我们

SUBSCRIBE to US


Image: Microsoft


微软的Windows Hello指纹认证已经被破解,戴尔、联想和微软的笔记本电脑都受到影响。Blackwing Intelligence的安全研究人员发现了三款最受欢迎的指纹传感器的多个漏洞,这些传感器被企业广泛用于通过Windows Hello指纹身份验证保护笔记本电脑。


微软的攻防研究和安全工程(MORSE)团队邀请 Blackwing Intelligence 评估指纹传感器的安全性,研究人员在10月份的微软BlueHat会议上发表了他们的研究结果。该团队将Goodix、Synaptics和ELAN的流行指纹传感器确定为他们研究的目标,并在最新发布的博客文章中详细介绍了构建一种可以执行中间人(MitM)攻击的USB设备的深入过程。这样的攻击可能会提供对被盗笔记本电脑的访问,甚至是对无人看管设备的“Evil Maid”攻击。


戴尔Inspiron 15、联想ThinkPad T14和微软Surface Pro X都成为指纹读取器攻击的受害者,只要有人之前在设备上使用指纹验证,研究人员就可以绕过Windows Hello保护。Blackwing Intelligence的研究人员对软件和硬件进行了逆向工程,发现了Synaptics传感器上一个自定义TLS的加密实现缺陷。绕过Windows Hello的复杂过程还涉及到解码和重新实现专有协议。


指纹传感器现在被Windows笔记本电脑广泛使用,这要归功于微软对Windows Hello和无密码未来的推动。微软在三年前透露,近85%的消费者使用Windows Hello来登录Windows 10设备,而不是使用密码。


这不是第一次Windows Hello基于生物特征的身份验证失败。2021年,微软被迫修复了一个Windows Hello身份验证绕过漏洞,此前一项概念验证涉及捕捉受害者的红外图像,以欺骗Windows Hello的面部识别功能。


不过,目前还不清楚微软是否能够独自修复这些最新的缺陷。Blackwing Intelligence的研究人员Jesse D'Aguanno和Timo Teräs在他们关于缺陷的深入报告中写道:“微软在设计安全设备连接协议(SDCP)以在主机和生物识别设备之间提供安全通道方面做得很好,但不幸的是,设备制造商似乎误解了其中的一些目标。此外,SDCP只覆盖了一个非常狭窄的典型设备的操作范围,而大多数设备都暴露了一个相当大的攻击面,而SDCP根本没有覆盖这个攻击面。”


研究人员发现,在三台目标设备中,有两台没有启用微软的SDCP保护。Blackwing Intelligence现在建议OEM确保启用SDCP,并确保指纹传感器的实施由合格的专家进行审计。Blackwing Intelligence还在探索对传感器固件的内存损坏攻击,甚至在Linux、Android和苹果设备上的指纹传感器安全。


微信号|IEEE电气电子工程师

新浪微博|IEEE中国

 · IEEE电气电子工程师学会 · 


AI部署:没你想得那么简单

前进中的5G:仍在兑现承诺

面对未来的AI:三大挑战

自动驾驶技术和空中出租车:未来出行方式的革新

微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
TechInsights:2023 年 Q3 全球笔记本电脑出货量联想排名第一,苹果下降 30%lenovo-黑色星期五 高达 60% 折扣笔记本电脑和台式电脑在笔记本电脑上从头设计一款会走路的机器人,AI只需26秒聊一款“翻车”的笔记本电脑消息称三星考虑明年推出可折叠笔记本电脑,采用水滴铰链Cyber Monday优惠精选!Amazon笔记本电脑直减$400!加航全球180个地方特价仅今天!昨天发了一个军事题材的冷笑话聊一台高素质大屏幕笔记本电脑联想黑五预售,精选笔记本电脑、台式机、鼠标键盘等2.1折起!小米新款笔记本现身,搭载酷睿 Ultra 7 155H飞利浦推出 49B2U5900CH 48.8 寸带鱼屏显示器:双 2K、支持 Windows Hello,949.99 英镑荣耀笔记本电脑怎么选?MagicBook产品阵容详析改变PC键盘,微软为Windows 11引入Copilot键最轻 AMD 处理器笔记本电脑夏普 Dynabook GA83 / XW 发布,续航时间高达 24 小时【回家的路】 回家照看父母的路华硕:若 ROG 笔记本电脑散热效能检测不达标,符合条件者可免费更换液金和硅脂折叠屏“涌向”笔记本电脑,拉高成本的“水滴”铰链技术尴尬了聊聊我今年买过最亏的笔记本电脑当笔记本电脑开始折叠……物以类聚,人以群分2024/25 Chevening Clore Leadership Fellowship 项目开放申请集邦咨询预估明年全球笔记本电脑市场回暖,出货量同比增长 2-5%vivo发布AI对话机器人蓝心千询;微软Windows11更新推出Copilot预览版丨AIGC日报七彩虹推出新款将星 X15-AT 笔记本电脑:i7-13650HX 处理器,5899 元起曾是重度烟瘾者、用过第一批笔记本电脑:新晋诺奖得主约恩·福瑟是谁?创维创始人痛斥许家印;日本一公司推出售价2000万元可驾驶机器人;谷歌将在印度生产笔记本电脑丨邦早报松下发布半坚固笔记本电脑 Toughbook 55 Mk3,采用模块化设计63奇葩的祖宗搭载英特尔酷睿 Ultra 处理器的微星笔记本电脑开启预购,1049 美元起TrendForce:预计今年全球笔记本电脑出货量同比下降 10.2%,明年恢复增长华为官方翻新 MateBook D16 笔记本电脑开售:12 代英特尔标压处理器,3399 元起售大量搭载英特尔酷睿 Ultra 7 155H、155U“Meteor Lake”处理器的笔记本电脑现身 Geekbench谷歌将首次在印度制造Chromebook笔记本电脑,与惠普合作62 祭月剑冢iPhone、Mac 直接体验 Windows?微软重磅推出 Windows App
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。