戴爾、聯想、微軟膝上型電腦上的Windows Hello身份驗證可被繞過

在上個月微軟的BlueHat大會上，Blackwing Intelligence的安全研究人員Jesse D'Aguanno和Timo Teräs發表演講詳細演示瞭如何繞過Windows Hello的指紋認證，並以他人身份登入。

這項研究由微軟的攻擊性研究和安全工程團隊（MORSE）委託及贊助，並於本週向公眾公開。研究重點是繞過三款膝上型電腦上的Windows Hello指紋認證：戴爾Inspiron 15，聯想ThinkPad T14和微軟Surface Pro 8/X，它們分別使用了Goodix、Synaptics和ELAN的嵌入式指紋感測器。

上述指紋感測器都屬於“晶片上匹配（MoC）”（也稱“感測器內匹配”）型別的感測器。與主機上匹配相反，MoC感測器在晶片中具有微處理器和儲存器，從而可以在晶片內安全地進行指紋匹配。由於指紋模板永遠不會離開晶片，這消除了生物識別資料從主機中外洩的隱私問題。

不過，雖然MoC防止了將儲存的指紋資料傳送到主機進行匹配，但它本身並不能防止惡意感測器欺騙合法感測器與主機的通訊，並假稱授權使用者已成功進行了認證。並且，它也不能防止重放先前觀察到的主機和感測器之間的通訊。

為了對抗利用上述缺陷的攻擊，微軟開發了安全裝置連線協議（SDCP），用以確保指紋裝置被信任、執行狀況良好，並且指紋裝置與主機之間的輸入受到保護。

然而，安全研究員Jesse D'Aguanno和Timo Teräs利用自定義的Linux樹莓派4裝置，在這三臺膝上型電腦上透過中間人攻擊（MITM），成功繞過了Windows Hello認證。

據瞭解，他們在戴爾和聯想膝上型電腦上，透過列舉有效的ID並使用合法Windows使用者的ID註冊攻擊者的指紋，實現了認證繞過（Synaptics感測器使用了自定義TLS堆疊而不是SDCP來保護USB通訊）。

對於Surface裝置，其ELAN指紋感測器沒有SDCP保護，使用明文USB通訊，並且缺乏認證，研究員在斷開包含感測器的Type Cover後偽造了指紋感測器，並從偽造的裝置傳送了有效的登入響應。

最終結果是，上述筆記本的Windows Hello指紋認證全數被駭客攻破。研究人員表示，這並不是Windows Hello或使用指紋的問題，更多的是由於軟體和硬體之間的通訊存在缺陷或疏忽。安全研究員建議裝置製造商檢查該項報告，確保他們的產品沒有類似設計缺陷。

報告原文：https://blackwinghq.com/blog/posts/a-touch-of-pwn-part-i/

編輯：左右裡

資訊來源：Blackwing Intelligence、thehackernews

轉載請註明出處和本文連結