אימות טביעת האצבע של Windows Hello של מיקרוסופט עקף במחשבים ניידים Dell, Lenovo ו-Surface

טייק אווי מפתח

• חוקרים הצליחו לעקוף את Windows Hello במחשבים ניידים של Dell, לנובו ומיקרוסופט, והדגישו נקודות תורפה בטכנולוגיית סריקת טביעות האצבע.
• חיישני טביעות האצבע במחשבים הניידים האלה משתמשים בטכנולוגיית "Match on Chip" כדי לבצע אימות ביומטרי במיקרו-מעבדים שלהם, אבל זה לא מונע מטבעו התקפות זיוף.
• פרוטוקול Secure Device Protection (SDCP) של מיקרוסופט נועד לטפל בפגיעויות אלו, אך החוקרים גילו שחלק מחשבים ניידים, כולל Lenovo ThinkPad T14s ו-Microsoft Surface Type Cover, לא השתמשו כלל ב-SDCP, מה שהותיר אותם רגישים יותר ל התקפות.

אם יש לך מחשב נייד של Windows, אז כנראה נתקלת ב-Windows Hello. זוהי התחברות ביומטרית שבמחשבים ניידים נתמכים מאפשרת למשתמשים להיכנס עם סריקת פנים, סריקת קשתית או סריקת טביעת אצבע. עם זאת, במקרה של שימוש בטביעת אצבע כדי להיכנס למחשב הנייד שלך, הוזהר: חוקרים מ-Blackwing HQ עקפו את Windows Hello בשלושה מחשבים ניידים שונים מ-Dell, Lenovo ו-Microsoft.

נאם בכנס BlueHat של מיקרוסופט ברדמונד, וושינגטון, ג'סי ד'אגואנו וטימו טרס

הפגינו איך הם הצליחו לעקוף את Windows Hello ב-Dell Inspiron 15, Lenovo ThinkPad T14s וכיסוי Microsoft Surface Pro Type עם מזהה טביעת אצבע (עבור Surface Pro 8/X). משמעות הדבר היא שהם יכלו לקבל גישה לחשבון המשתמש ולנתוני המשתמש כאילו היו משתמש רגיל. יתר על כן, החיישנים המשמשים בשלושת המכשירים הללו הם מ- Goodix, Synaptics ו- ELAN בהתאמה, כלומר, פגיעויות אלו אינן מוגבלות ליצרן או מחשב נייד אחד בלבד של סורק טביעות אצבע OEM.

התאמה על שבב, SDCP ואיך יצרני מחשבים ניידים פישלו

בראש ובראשונה, הכרחי להבין כיצד סורקי טביעות האצבע הללו פועלים ופועלים יחד עם המערכת המארחת. כל שלושת סורקי טביעות האצבע משתמשים בטכנולוגיית "Match on Chip" (MoC), מה שאומר שהם אורזים את המיקרו-מעבד והאחסון שלהם. כל אימות טביעות האצבע מתבצע בשבב זה, כולל השוואה מול מסד הנתונים של "תבניות טביעות אצבע"; הנתונים הביומטריים שחיישן טביעת האצבע משיג. זה מבטיח שגם אם המחשב המארח נפגע (במקרה זה, המחשב הנייד עצמו), הנתונים הביומטריים אינם בסיכון.

יתרון נוסף של MoC הוא שהוא מונע מתוקף להתפשר על חיישן מזויף ולשלוח נתונים ביומטריים למערכת המארחת. עם זאת, זה לא מונע מחיישן זדוני להעמיד פנים שהוא לגיטימי, ואומר למערכת שהמשתמש אושר. זה גם לא יכול למנוע התקפות חוזרות, שבהן תוקף יירט ניסיון התחברות חוקי ואז "הפעיל" אותו בחזרה למערכת המארחת. Windows Hello Advanced Sign-in Security (ESS) דורש שימוש בחיישני MoC, אבל אתה כבר יכול לראות מספר דרכים שבהן תוקפים יצירתיים עשויים לנסות להיכנס למחשב הנייד של המשתמש. זו הסיבה שמיקרוסופט פיתחה את SDCP, פרוטוקול הגנת התקן מאובטח.

ל-SDCP יש את המטרות הבאות:

1. הבטחת מכשיר טביעת האצבע מהימן
2. מוודאים שמכשיר טביעת האצבע תקין
3. הגנה על קלט בין מכשיר טביעת האצבע למארח

SDCP היא דוקטרינה שקובעת אם המערכת מקבלת התחברות ביומטרית, היא יכולה לעשות זאת בהנחה שבעל המכשיר היה נוכח פיזית בזמן הכניסה. מתפקד על שרשרת אמון, הוא נועד לענות על השאלות הבאות לגבי החיישן בשימוש:

1. האם המארח יכול לסמוך על כך שהוא מדבר למכשיר מקורי?
2. האם המארח יכול לסמוך על כך שהמכשיר לא נפרץ או שונה?
3. האם הנתונים מגיעים מהמכשיר מוגנים?

זו הסיבה ש-SDCP יוצר ערוץ מקצה לקצה בין המארח לחיישן טביעת האצבע. זה ממנף את האתחול המאובטח, המבטיח שתעודה ספציפית לדגם ומפתח פרטי משמשים שרשרת אמון כדי לוודא שכל התקשורת לא נפגעה. עדיין ניתן להשתמש בקושחה שנפרצה, אך המערכת תדע שהיא נפגעה ו שונה, והחוקרים ציינו שכל המכשירים שנבדקו חתמו גם הם על הקושחה שלהם כדי למנוע התעסקות.

כל האמור לעיל נשמע טוב, ו-SDCP בתור מושג הוא תכונת אבטחה נהדרת שיצרני OEM צריכים להשתמש. כתוצאה מכך, זה הפתיע את החוקרים כאשר Lenovo ThinkPad T14s ו-Microsoft Surface Type Cover לא עשו שימוש ב-SDCP כלל.

כדי לצטט את החוקרים מ-Blackwing HQ:

"מיקרוסופט עשתה עבודה טובה בתכנון SDCP כדי לספק ערוץ מאובטח בין המכשיר המארח והביומטרי, אך למרבה הצער נראה כי יצרני המכשירים לא מבינים חלק מהיעדים. בנוסף, SDCP מכסה רק היקף צר מאוד של פעולת מכשיר טיפוסי, בעוד שלרוב המכשירים יש משטח התקפה גדול חשוף שאינו מכוסה על ידי SDCP כלל.

לבסוף, גילינו ש-SDCP אפילו לא הופעל בשניים מתוך שלושה מהמכשירים שאליהם התמקדנו".

תוקפת את Dell, לנובו ו-Surface

במקרה של Dell Inspiron 15, החוקרים גילו שהם יכולים לרשום טביעת אצבע דרך לינוקס, שבתורה לא יעשה שימוש ב-SDCP. אמנם מסתבר שהחיישן מאחסן שני מסדי נתונים של טביעות אצבע גם עבור לינוקס וגם עבור Windows (ולכן מבטיח ש-SDCP משמש רק ב-Windows, ומשתמש לא יכול להירשם ב- לינוקס כדי להתחבר ב-Windows) אפשר ליירט את החיבור בין החיישן למארח כדי לומר לחיישן להשתמש במסד הנתונים של לינוקס, למרות שהמחשב מופעל לתוך חלונות.

כל זה היה אפשרי הודות לחבילה לא מאומתת שבדקה את מערכת ההפעלה האתחול וניתן היה לחטוף אותה כדי להצביע על מסד הנתונים של לינוקס במקום זאת. זה דרש שימוש ב-Raspberry Pi 4 כדי לרשום משתמשים למסד הנתונים של לינוקס ולהתחבר לחיישן באופן ידני, אבל זה עבד ואיפשר לחוקרים להיכנס למערכת Windows תוך שימוש בכל טביעת אצבע, תוך שמירה על SDCP שָׁלֵם.

במקרה של Lenovo ThinkPad T14s, זה דרש הנדסה לאחור של מחסנית TLS מותאמת אישית המאבטחת תקשורת בין המארח לחיישן, ומדלגת לחלוטין על SDCP. המפתח ששימש להצפנת התקשורת הזו התברר כשילוב של המוצר של המכונה שם ומספר סידורי, וניצול פשוט בגלל "בעיה הנדסית" כפי שהחוקרים אמרו זה.

לאחר שניתן היה לרשום בכוח את טביעת האצבע של התוקף ברשימת המזהים החוקיים, ניתן היה לאתחל ל-Windows ולהשתמש בטביעת האצבע של התוקף כדי להיכנס למערכת.

הגרוע והחריף מבין השלושה מגיע מחיישן טביעות האצבע של Microsoft Surface Cover של ELAN. אין SDCP, הוא מתקשר באמצעות USB בטקסט ברור, והוא לא עושה מאמץ לאמת את המשתמש. בדיקת האימות היחידה שהיא מבצעת היא בדיקה מול המערכת המארחת כדי לראות אם מספר טביעות האצבע הרשומות על המארח תואם את המספר שיש לחיישן. עדיין ניתן לעקוף את זה בקלות עם חיישן מזויף ששואל את החיישן האמיתי כמה טביעות אצבע רשומות.

מה אתה יכול לעשות?

אם אתה הבעלים של אחד מהמחשבים הניידים המושפעים האלה, היה סמוך ובטוח שסביר מאוד שתקיפה כזו תקרה לך. אלו הן התקפות מיוחדות מאוד הדורשות מאמץ רב מצד התוקף, והן גם זקוקות לגישה פיזית למחשב הנייד שלך. אם זו בעיה, הדרך הטובה ביותר היא לשדרג למחשב נייד מאובטח יותר או לפחות להשבית לחלוטין את Windows Hello.

השבתת Windows Hello אמורה להספיק, כיוון שהיא תדרוש ממך כניסה ידנית והמערכת לא תצפה לחיישן טביעת אצבע להיכנס כלל. אם אתה עדיין לא סומך על המחשב הנייד שלך, אז לאסוף חדש עשוי להיות רעיון טוב.