A pcforum. hu beszámolója szerint biztonsági szakemberek komoly hibát találtak a Windows-ok Hello technológiájának ujjlenyomat-azonosÃtásában több gyártó termékein. Az egyebek között a Dell, a Lenovo, sÅ‘t, a Microsoft saját laptopjain is jelenlévÅ‘ sebezhetÅ‘ség kihasználásával a hackerek hozzáférhetnek az ujjlenyomattal védett eszközökhöz.
A kutatók egy most közzétett blogbejegyzésben részletesen bemutatták egy olyan USB-eszköz megépÃtésének folyamatát, amely képes egy ún. man-in-the-middle (MitM) támadás révén illetéktelen számára is lehetÅ‘vé tenni a bejelentkezést az érintett eszközökre az ujjlenyomatán keresztül azonosÃtott felhasználó nevében. A sebezhetÅ‘ség kihasználásával nem csak magukon az eszközökön, de akár az adott felhasználó fiókjához kapcsolódóan a felhÅ‘ben tárolt adatokhoz is hozzáférhetnek, illetve kiindulási pontként használhatják azt vállalatok belsÅ‘ hálózatainak megtámadásához is.
A szakemberek szerint a Dell Inspiron 15, a Lenovo ThinkPad T14 és a Microsoft saját Surface Pro X eszközei is veszélyben lehetnek, illetve ezeken mind lehetÅ‘ség van a Windows Hello védelmének megkerülésére az ujjlenyomat-hitelesÃtési eljáráson keresztül. Ez annak köszönhetÅ‘, hogy a megvalósÃtás során állÃtólag komoly kriptográfiai implementációs hibákat vétettek a felhasznált Synaptics érzékelÅ‘ tervezÅ‘i és felhasználói. A kutatók azt mondják, hogy bár a Microsoft jó munkát végzett a Hello biztonsági protokolljának megtervezésekor, de sajnos a laptopok gyártóiról már nem mondható ez el, és azok számos hibát vétettek a technológia felhasználása és beépÃtése során eszközeikbe, meggyengÃtve annak biztonsági garanciáit. Emiatt kérdéses az is, hogy a problémákat lehet -e szoftveresen orvosolni.
A felttörés nem volt egyszerű, mert a Hello megkerüléséhez egy titkos protokollt is dekódolni, illetve részben újraimplementálni is kellett, de ettÅ‘l függetlenül megoldható volt a dolog. Az igazi problémát persze az jelenti, hogy manapság igen elterjedtnek számÃt az ujjlenyomat-alapú azonosÃtás a Windows-t futtató laptopokon, és egy felmérés szerint a felhasználók közül 85 százaléka jelszó helyett már a Windows Hello valamilyen formáját használja a belépésre. (Forrás: pcforum.hu)
Kommentek lezárva.