Ezeken a laptopokon feltörhetik az ujjlenyomat-azonosítót

A kutatók egy most közzétett blogbejegyzésben részletesen bemutatták egy olyan USB-eszköz megépítésének folyamatát, amely képes egy ún. man-in-the-middle (MitM) támadás révén illetéktelen számára is lehetővé tenni a bejelentkezést az érintett eszközökre az ujjlenyomatán keresztül azonosított felhasználó nevében. A sebezhetőség kihasználásával nem csak magukon az eszközökön, de akár az adott felhasználó fiókjához kapcsolódóan a felhőben tárolt adatokhoz is hozzáférhetnek, illetve kiindulási pontként használhatják azt vállalatok belső hálózatainak megtámadásához is.

A szakemberek szerint a Dell Inspiron 15, a Lenovo ThinkPad T14 és a Microsoft saját Surface Pro X eszközei is veszélyben lehetnek, illetve ezeken mind lehetőség van a Windows Hello védelmének megkerülésére az ujjlenyomat-hitelesítési eljáráson keresztül. Ez annak köszönhető, hogy a megvalósítás során állítólag komoly kriptográfiai implementációs hibákat vétettek a felhasznált Synaptics érzékelő tervezői és felhasználói. A kutatók azt mondják, hogy bár a Microsoft jó munkát végzett a Hello biztonsági protokolljának megtervezésekor, de sajnos a laptopok gyártóiról már nem mondható ez el, és azok számos hibát vétettek a technológia felhasználása és beépítése során eszközeikbe, meggyengítve annak biztonsági garanciáit. Emiatt kérdéses az is, hogy a problémákat lehet -e szoftveresen orvosolni.

A felttörés nem volt egyszerű, mert a Hello megkerüléséhez egy titkos protokollt is dekódolni, illetve részben újraimplementálni is kellett, de ettől függetlenül megoldható volt a dolog. Az igazi problémát persze az jelenti, hogy manapság igen elterjedtnek számít az ujjlenyomat-alapú azonosítás a Windows-t futtató laptopokon, és egy felmérés szerint a felhasználók közül 85 százaléka jelszó helyett már a Windows Hello valamilyen formáját használja a belépésre. (Forrás: pcforum.hu)