اكتشف باحثو الأمن في Blackwing Intelligence، أن أجهزة الكمبيوتر المحمولة التي تصنعها Microsoft يمكن تجاوز مصادقة Windows Hello الخاصة بها بسهولة بسبب نقاط الضعف في أجهزة الاستشعار التي يمكن أن تتسبب في الاستيلاء عليها من قبل جهات فاعلة سيئة على مستوى النظام، وفقا لتقرير digitartlend.
وتستخدم العديد من العلامات التجارية لأجهزة الكمبيوتر المحمول مستشعرات بصمات الأصابع من Goodix وSynaptics وELAN، وبدأت نقاط الضعف هذه في الظهور مع انتقال الشركات إلى القياسات الحيوية كخيار أساسي للوصول إلى الأجهزة.
ومع مرور الوقت، سيستمر استخدام كلمة المرور في التناقص، و قبل ثلاث سنوات ادعت شركة Microsoft أن 85% من مستخدميها كانوا يختارون تسجيل الدخول إلى Windows Hello على أجهزة Windows 10 عبر كلمة مرور، وفقًا لموقع The Verge.
وبناء على طلب من قسم الهندسة الهجومية والأمنية (MORSE) التابع لشركة Microsoft، شارك الباحثون تفاصيل الهجمات المختلفة التي ابتليت بها أجهزة الكمبيوتر المحمولة التي تدعم مصادقة بصمات الأصابع في مؤتمر BlueHat الخاص بالعلامة التجارية في أكتوبر.
ولعل أحد هذه الهجمات هو هجوم رجل في الوسط (MitM)، والذي يمكن استخدامه للوصول إلى جهاز كمبيوتر محمول مسروق، و هناك طريقة أخرى وهي هجوم “الخادمة الشريرة”، والذي يمكن استخدامه على جهاز غير مراقب.
واختبر باحثو Blackwing Intelligence بعض الأجهزة، التي وقعت جميعها ضحية لطرق تجاوز مختلفة طالما أن شخصًا ما قد استخدم بصمة إصبعه مسبقًا للوصول إلى الأجهزة.
وأشار الباحثون إلى أن التجاوز استلزم هندسة عكسية للأجهزة والبرامج الموجودة على أجهزة الكمبيوتر المحمولة، وقد وجدوا عيوبًا في الطبقة الأمنية لمستشعر Synaptics، على وجه الخصوص كان هناك حاجة إلى فك تشفير Windows Hello وإعادة هيكلته لتجاوز عملية الإعداد الخاصة به، لكنه لا يزال قابلاً للاختراق.
لاحظ الباحثون أن بروتوكول اتصال الأجهزة الآمنة (SDCP) من مايكروسوفت يعد محاولة قوية لتطبيق إجراء أمني ضمن المعايير البيومترية، فهو يسمح باتصال أكثر أمانًا بين جهاز الاستشعار البيومتري والكمبيوتر المحمول الخاص به.
ومع ذلك، لم تطبق جميع الشركات المصنعة هذه الميزة بشكل جيد بما يكفي لتكون فعالة، هذا إذا قاموا بتمكينها على الإطلاق، وتم تمكين SDCP في اثنين من أجهزة الكمبيوتر المحمولة الثلاثة التي تم فحصها في الدراسة.
لن يكون الحصول على أجهزة كمبيوتر محمولة بيومترية أكثر أمانًا مهمة لشركة Microsoft فقط، وأشارت Blackwing Intelligence إلى أن العلاج الأولي لتأمين أجهزة الكمبيوتر المحمولة التي تدعم Windows Hello هو أيضًا تمكين SDCP من جانب الشركة المصنعة.
وتتبع هذه الدراسة ثغرة في القياسات الحيوية للتعرف على الوجه عام 2021 في Windows Hello والتي سمحت للمستخدمين بتجاوز الميزة بإجراء تعديلات معينة، واضطرت مايكروسوفت إلى تحديث ميزتها بعد أن قدم الباحثون دليلاً على المفهوم الذي يعرض المستخدمين بأقنعة أو جراحة تجميلية تتجاوز مصادقة التعرف على الوجه في Windows Hello.
