Microsofti Windows Hello sõrmejälje autentimine läks Delli, Lenovo ja Surface'i sülearvutites mööda

ArvutamineNov 22, 2023

Kui olete kuulnud, et teadlased läksid Delli, Lenovo ja Surface'i sülearvutites Windows Hello'st mööda, on see kõik, mida peate teadma.

Võtmed kaasavõtmiseks

  • Teadlastel on õnnestunud Delli, Lenovo ja Microsofti sülearvutites Windows Hello'st mööda minna, tuues esile sõrmejälgede skannimise tehnoloogia haavatavused.
  • Nende sülearvutite sõrmejäljeandurid kasutavad "Match on Chip" tehnoloogiat, et teostada oma mikroprotsessorite biomeetrilist kontrolli, kuid see ei takista võltsimise rünnakuid.
  • Microsofti Secure Device Protection Protocol (SDCP) eesmärk on need haavatavused kõrvaldada, kuid teadlased leidsid, et mõned sülearvutid, sealhulgas Lenovo ThinkPad T14 ja Microsoft Surface Type Cover, ei kasutanud üldse SDCP-d, muutes need vastuvõtlikumaks rünnakud.

Kui teil on a Windowsi sülearvuti, siis olete tõenäoliselt kohanud Windows Hello. See on biomeetriline sisselogimine, mis võimaldab kasutajatel toetatud sülearvutites sisse logida kas näo skaneerimise, vikerkesta või sõrmejälje skaneerimisega. Kui kasutate sülearvutisse sisenemiseks sõrmejälge, pidage meeles: Blackwingi peakorteri teadlased on Windows Hellost mööda läinud kolmel erineval Delli, Lenovo ja Microsofti sülearvutil.

Microsofti BlueHati konverentsil Redmondis Washingtonis esinevad Jesse D'Aguanno ja Timo Teräs demonstreeris kuidas neil õnnestus Windows Hellost mööda minna Dell Inspiron 15, Lenovo ThinkPad T14s ja sõrmejälje ID-ga Microsoft Surface Pro Type Cover'ist (Surface Pro 8/X jaoks). See tähendas, et nad said juurdepääsu kasutajakontole ja kasutaja andmetele, nagu oleksid nad tavakasutajad. Lisaks on nendes kolmes seadmes kasutatavad andurid vastavalt firmadelt Goodix, Synaptics ja ELAN, See tähendab, et need haavatavused ei piirdu ainult ühe sõrmejäljeskanneri tootja või sülearvutiga OEM.

Matke kiibil, SDCP-l ja sülearvutite tootjatel pahasti

Surface Pro 7+ musta kaanega klaviatuuriga

Kõigepealt on hädavajalik mõista, kuidas need sõrmejäljeskannerid töötavad ja hostsüsteemiga koos töötavad. Kõik kolm sõrmejäljeskannerit kasutavad "Match on Chip" (MoC) tehnoloogiat, mis tähendab, et nad pakivad oma mikroprotsessori ja salvestusruumi. Sellel kiibil tehakse kogu sõrmejälgede kontrollimine, sealhulgas võrdlus "sõrmejälgede mallide" andmebaasiga; biomeetrilised andmed, mille sõrmejäljeandur saab. See tagab, et isegi kui hostmasin on ohus (antud juhul sülearvuti ise), pole biomeetrilised andmed ohus.

Teine MoC eelis on see, et see takistab ründajal võltsitud andurit ohustamast ja biomeetriliste andmete saatmist hostsüsteemi. Siiski ei takista see pahatahtlikul anduril end õiguspärasena teesklemast, teatades süsteemile, et kasutaja on autentinud. Samuti ei saa see ära hoida kordusrünnakuid, kus ründaja peatab kehtiva sisselogimiskatse ja seejärel taasesitab selle hostsüsteemi tagasi. Windows Hello Advanced Sign-in Security (ESS) nõuab MoC-andurite kasutamist, kuid juba näete mitmeid viise, kuidas loomingulised ründajad võivad üritada kasutaja sülearvutisse pääseda. Seetõttu töötas Microsoft välja SDCP, turvalise seadmekaitse protokolli.

SDCP-l on järgmised eesmärgid:

  1. Sõrmejäljeseadme usaldusväärsuse tagamine
  2. Veenduge, et sõrmejäljeseade on terve
  3. Sõrmejäljeseadme ja hosti vahelise sisendi kaitsmine

SDCP on õpetus, mis ütleb, et kui süsteem aktsepteerib biomeetrilist sisselogimist, võib ta seda teha eeldusel, et seadme omanik oli sisselogimise ajal füüsiliselt kohal. Usaldusahelas töötades on selle eesmärk vastata järgmistele küsimustele kasutatava anduri kohta:

  1. Kas host võib usaldada, et see räägib ehtsa seadmega?
  2. Kas host võib usaldada, et seadet pole häkitud ega muudetud?
  3. Kas seadmest tulevad andmed on kaitstud?

Seetõttu loob SDCP hosti ja sõrmejäljeanduri vahel otsast lõpuni kanali. See kasutab turvalist alglaadimist, mis tagab, et mudelispetsiifiline sertifikaat ja privaatvõti toimivad usaldusahelana, et kontrollida, kas kogu suhtlus on rikutud. Ohustatud püsivara saab endiselt kasutada, kuid süsteem teab, et see on rikutud ja muudetud ja teadlased märkisid, et kõik testitud seadmed allkirjastasid ka oma püsivara, et vältida rikkumine.

Kõik ülaltoodu kõlab hästi ja SDCP kui kontseptsioon on suurepärane turvafunktsioon, mida originaalseadmete tootjad peaksid kasutama. Selle tulemusena tuli teadlastele üllatusena, kui Lenovo ThinkPad T14s ja Microsoft Surface Type Cover ei kasutanud üldse SDCP-d.

Tsiteerides Blackwingi peakorteri teadlasi:

"Microsoft tegi head tööd SDCP kujundamisel, et pakkuda turvalist kanalit hosti ja biomeetriliste seadmete vahel, kuid kahjuks näivad seadmete tootjad mõnest eesmärgist valesti aru saavat. Lisaks katab SDCP vaid väga kitsa ulatuse tüüpilise seadme tööst, samas kui enamikul seadmetel on avatud suur ründepind, mida SDCP üldse ei kata.

Lõpuks avastasime, et SDCP polnud isegi kahel kolmest sihitud seadmest lubatud.

Delli, Lenovo ja Surface'i ründamine

Dell Inspiron 15 puhul leidsid teadlased, et nad saavad registreerida sõrmejälje Linuxi kaudu, mis omakorda ei kasutaks SDCP-d. Kuigi selgub, et andur salvestab kaks sõrmejälgede andmebaasi nii Linuxi kui ka Windowsi jaoks (tagades seega, et SDCP-d kasutatakse ainult Windowsis ja kasutaja ei saa registreeruda Linux Windowsi sisselogimiseks) on võimalik katkestada anduri ja hosti vaheline ühendus, et anda andurile käsk kasutada Linuxi andmebaasi, hoolimata sellest, et masin on käivitatud Windows.

See kõik oli võimalik tänu autentimata paketile, mis kontrollis käivitatud operatsioonisüsteemi ja mille sai kaaperdada, et osutada hoopis Linuxi andmebaasile. Kasutajate Linuxi andmebaasi registreerimiseks ja anduriga käsitsi ühenduse loomiseks oli vaja kasutada Raspberry Pi 4, kuid töötas ja võimaldas teadlastel Windowsi süsteemi sisse logida, kasutades mis tahes sõrmejälge, säilitades samal ajal SDCP-d terved.

Allikas: Blackwingi peakorter

Lenovo ThinkPad T14s puhul nõudis see kohandatud TLS-i virna pöördprojekteerimist, mis kindlustas hosti ja anduri vahelise side, jättes SDCP täielikult vahele. Selle suhtluse krüpteerimiseks kasutatud võti osutus masina toote kombinatsiooniks nimi ja seerianumber ning kasutamine lihtsalt "inseneriprobleemi" tõttu, nagu teadlased väitsid seda.

Kui ründaja sõrmejälg oli jõuga registreeritud kehtivate ID-de loendisse, oli võimalik seejärel Windowsi alglaadimine ja süsteemi sisselogimiseks kasutada ründaja sõrmejälge.

Allikas: Blackwingi peakorter

Halvim ja kõige kohutavam neist kolmest pärineb ELAN-i Microsoft Surface Coveri sõrmejäljeandurilt. SDCP-d pole, see suhtleb USB kaudu selge tekstina ega pinguta kasutaja autentimiseks. Ainus autentimiskontroll, mida see teeb, on hostisüsteemi kontroll, et näha, kas hostis registreeritud sõrmejälgede arv vastab anduri numbrile. Seda saab siiski hõlpsasti kõrvaldada võltsitud anduriga, mis küsib tegelikult andurilt, mitu sõrmejälge on registreeritud.

Mida sa teha saad?

Kui teil on mõni neist mõjutatud sülearvutitest, võite olla kindel, et on väga ebatõenäoline, et teiega juhtub selline rünnak. Need on väga spetsiifilised rünnakud, mis nõuavad ründajalt palju pingutusi ja vajavad ka füüsilist juurdepääsu teie sülearvutile. Kui see on probleem, on parim viis minna üle turvalisemale sülearvutile või vähemalt keelata Windows Hello täielikult.

Loodetavasti peaks piisama Windows Hello keelamisest, kuna see nõuab käsitsi sisselogimist ja süsteem ei oota üldse sõrmejäljeandurilt sisselogimist. Kui te siiski oma sülearvutit ei usalda, siis uue hankimine võib olla hea mõte.