Microsoft の Windows Hello 指紋認証が Dell、Lenovo、および Surface のラップトップでバイパスされる

研究者が Dell、Lenovo、Surface のラップトップで Windows Hello をバイパスしたと聞いたことがあるなら、これがあなたが知っておくべきことのすべてです。

重要なポイント

  • 研究者らは、Dell、Lenovo、Microsoft のラップトップで Windows Hello をバイパスすることに成功し、指紋スキャン テクノロジの脆弱性を浮き彫りにしました。
  • これらのラップトップの指紋センサーは、「マッチ オン チップ」テクノロジーを使用して、独自のマイクロプロセッサー上で生体認証を実行しますが、これは本質的になりすまし攻撃を防ぐものではありません。
  • Microsoft の Secure Device Protection Protocol (SDCP) は、これらの脆弱性に対処することを目的としていますが、研究者らは、一部の脆弱性が存在することを発見しました。 Lenovo ThinkPad T14 や Microsoft Surface タイプ カバーなどのラップトップは SDCP をまったく利用していないため、SDCP の影響を受けやすくなっています。 攻撃します。

持っている場合は、 Windows ラップトップ, 次に、Windows Hello に出会ったことがあるでしょう。 これは生体認証ログインであり、サポートされているラップトップでは、ユーザーは顔スキャン、虹彩スキャン、または指紋スキャンのいずれかを使用してログインできます。 ただし、指紋を使用してラップトップに侵入する場合は注意してください。Blackwing 本社の研究者は、Dell、Lenovo、Microsoft の 3 つの異なるラップトップで Windows Hello をバイパスしました。

ワシントン州レドモンドで開催された Microsoft の BlueHat カンファレンスで講演した Jesse D'Aguanno 氏と Timo Teräs 氏 実証済み Dell Inspiron 15、Lenovo ThinkPad T14、および指紋 ID を備えた Microsoft Surface Pro タイプ カバー (Surface Pro 8/X 用) で Windows Hello をどのようにバイパスしたのか。 これは、通常のユーザーであるかのように、ユーザー アカウントとユーザーのデータにアクセスできることを意味します。 さらに、これら 3 つのデバイスで使用されているセンサーは、それぞれ Goodix、Synaptics、および ELAN 製です。 つまり、これらの脆弱性は 1 つの指紋スキャナー メーカーやラップトップに限定されないということです。 OEM。

マッチ オン チップ、SDCP、ラップトップ メーカーがどのように失敗したか

Surface Pro 7 + ブラック タイプ カバー キーボード付き

何よりもまず、これらの指紋スキャナがどのように動作し、ホスト システムと相互運用するかを理解することが不可欠です。 3 つの指紋スキャナーはすべて、「Match on Chip」(MoC) テクノロジーを使用しています。これは、独自のマイクロプロセッサーとストレージを搭載していることを意味します。 「指紋テンプレート」のデータベースとの比較を含め、すべての指紋検証はこのチップ上で実行されます。 指紋センサーが取得する生体認証データ。 これにより、ホスト マシン (この場合はラップトップ自体) が侵害された場合でも、生体認証データが危険にさらされることはありません。

MoC のもう 1 つの利点は、攻撃者がなりすましセンサーを侵害して生体認証データをホスト システムに送信することを防ぐことです。 ただし、悪意のあるセンサーが正規のセンサーを装い、ユーザーが認証されたことをシステムに伝えることを防ぐことはできません。 また、攻撃者が有効なログイン試行を傍受し、それをホスト システムに「リプレイ」するリプレイ攻撃も防ぐことはできません。 Windows Hello Advanced Sign-in Security (ESS) では MoC センサーの使用が必要ですが、クリエイティブな攻撃者がユーザーのラップトップに侵入しようとするさまざまな方法がすでに確認されています。 そのため、Microsoft は SDCP (Secure Device Protection Protocol) を開発しました。

SDCP には次の目標があります。

  1. 指紋認証デバイスが信頼できることを確認する
  2. 指紋認証デバイスが正常であることを確認する
  3. 指紋認証デバイスとホスト間の入力の保護

SDCP は、システムが生体認証ログインを受け入れる場合、デバイスの所有者がログイン時に物理的に存在していたと仮定して受け付けることができるという原則です。 信頼の連鎖に基づいて機能し、使用されているセンサーに関する次の質問に答えることを目的としています。

  1. ホストは、本物のデバイスと通信していることを信頼できますか?
  2. ホストは、デバイスがハッキングまたは改造されていないことを信頼できますか?
  3. デバイスからのデータは保護されていますか?

これが、SDCP がホストと指紋センサーの間にエンドツーエンドのチャネルを作成する理由です。 これはセキュア ブートを利用しており、モデル固有の証明書と秘密キーが信頼のチェーンとして機能し、すべての通信が改ざんされていないことを確認します。 侵害されたファームウェアは引き続き使用できますが、システムは侵害されたことを認識し、 研究者らは、テストされたすべてのデバイスが、防止するためにファームウェアにも署名したことを指摘しました。 改ざん。

上記のすべては良いことのように聞こえますが、概念としての SDCP は、OEM が使用すべき優れたセキュリティ機能です。 その結果、Lenovo ThinkPad T14 と Microsoft Surface タイプ カバーが SDCP をまったく利用していないことは研究者にとって驚きでした。

Blackwing 本社の研究者の言葉を引用すると、次のようになります。

「マイクロソフトは、ホストと生体認証デバイスの間に安全なチャネルを提供する SDCP の設計に優れた仕事をしましたが、残念ながらデバイス メーカーは目的の一部を誤解しているようです。 さらに、SDCP は一般的なデバイスの動作の非常に狭い範囲のみをカバーしますが、ほとんどのデバイスには SDCP によってまったくカバーされないかなりの規模の攻撃対象領域が露出しています。

最終的に、対象としたデバイスのうち 3 台のうち 2 台では SDCP が有効になっていないことがわかりました。」

Dell、Lenovo、Surface への攻撃

Dell Inspiron 15 の場合、研究者らは Linux 経由で指紋を登録できることを発見しましたが、Linux では SDCP が使用されません。 ただし、センサーには Linux と Windows の両方の 2 つの指紋データベースが保存されていることがわかりました (そのため、SDCP は Windows でのみ使用され、ユーザーは Windows に登録できません) Windows に Linux でログインする)マシンが起動しているにもかかわらず、センサーとホスト間の接続を傍受して、センサーに Linux データベースを使用するように指示することが可能です。 ウィンドウズ。

これはすべて、起動されたオペレーティング システムをチェックする認証されていないパケットのおかげで可能であり、代わりに Linux データベースを指すようにハイジャックされる可能性がありました。 ユーザーを Linux データベースに登録し、手動でセンサーに接続するには Raspberry Pi 4 を使用する必要がありましたが、 機能し、SDCP を維持したまま、研究者が任意の指紋を使用して Windows システムにログインできるようになりました。 無傷。

出典: ブラックウィング本社

Lenovo ThinkPad T14 の場合、SDCP を完全にスキップして、ホストとセンサー間の通信を保護するカスタム TLS スタックのリバース エンジニアリングが必要でした。 その通信の暗号化に使用されたキーは、マシンの製品の組み合わせであることが判明しました 研究者らが言うように、名前とシリアル番号、そして単純に「工学的問題」という理由で悪用される それ。

攻撃者の指紋を有効な ID のリストに強制的に登録できると、Windows を起動し、攻撃者の指紋を使用してシステムにログインすることが可能になります。

出典: ブラックウィング本社

3 つのうちの最悪で最もひどいものは、ELAN 製の Microsoft Surface Cover の指紋センサーによるものです。 SDCP はなく、クリア テキストで USB 経由で通信し、ユーザーを認証する必要はありません。 唯一の認証チェックは、ホスト上に登録されている指紋の数がセンサーの数と一致するかどうかを確認するホスト システムのチェックです。 これは、本物のセンサーに登録されている指紋の数を尋ねる偽装センサーを使用して簡単に回避できます。

何ができるでしょうか?

これらの影響を受けるラップトップを所有している場合は、このような攻撃が起こる可能性は非常に低いので、ご安心ください。 これらは高度に特殊な攻撃であり、攻撃者側に多くの労力を必要とし、ラップトップへの物理的なアクセスも必要とします。 それが問題である場合、最善の方法は、より安全なラップトップにアップグレードするか、少なくとも Windows Hello を完全に無効にすることです。

Windows Hello を無効にすると、手動でログインする必要があり、システムは指紋センサーによるログインをまったく期待しないため、無効にするだけで十分であると考えられます。 それでもラップトップを信頼できない場合は、 新しいものを選ぶのは良い考えかもしれません.