Исследователи обошли аутентификацию по отпечаткам пальцев Windows Hello на ноутбуках Dell Inspiron, Lenovo ThinkPad и Microsoft Surface Pro X.
Уязвимости были обнаружены специалистами Blackwing Intelligence в ходе исследования, проведенного при поддержке Microsoft Offensive Research and Security Engineering (MORSE), призванного оценить безопасность трех основных встроенных датчиков отпечатков пальцев, используемых для аутентификации Windows Hello.
Исследователи тестировали встроенные датчики отпечатков производства ELAN, Synaptics и Goodix, установленные в устройства Microsoft Surface Pro X, Lenovo ThinkPad T14 и Dell Inspiron 15.
Все протестированные решения построены по технологии Match-on-Chip (MoC), то есть обладают собственным микропроцессором и хранилищем, что позволяет им более безопасно выполнять сопоставление отпечатков.
Хотя MoC-датчики предотвращают повторную передачу сохраненных данных об отпечатках пальцев на хост для их сопоставления, они не могут помешать вредоносному датчику имитировать взаимодействие легитимного датчика с хостом. Это может привести к ложному подтверждению успешной аутентификации, а также повторному воспроизведению ранее наблюдавшегося трафика между хостом и датчиком.
Для противодействия подобным атакам компания Microsoft разработала протокол Secure Device Connection Protocol (SDCP), который призван гарантировать, что устройство для сканирования отпечатков пальцев является доверенным и исправным, а входящий трафик между ним и хостом защищен на целевых устройствах.
Несмотря на это, исследователи успешно обошли аутентификацию Windows Hello с помощью man-in-the-middle атаки на всех изученных ноутбуках, используя для этого кастомную Raspberry Pi 4, работающую под управлением Linux.
В процессе атаки исследователи использовали реверс-инжиниринг, обнаружили ошибки в кастомной имплементации протокола TLS, разработанной компанией Synaptics, расшифровали и переделали проприетарные протоколы.
На ноутбуках Dell и Lenovo обход аутентификации осуществлялся путем составления списка действительных ID и регистрации отпечатка пальца злоумышленника с использованием ID легитимного пользователя Windows (сенсор Synaptics использовал кастомный стек TLS вместо SDCP для защиты USB-соединения).
Для устройства Surface, чей датчик отпечатков пальцев ELAN не имел защиты SDCP, использовал открытое USB-соединение и не имел аутентификации, специалисты имитировали датчик отпечатков, отключив Type Cover и подключив к машине USB-устройство, которое имитировало датчик отпечатков пальцев и сообщало системе, что авторизованный пользователь входит в систему.
«Microsoft проделала отличную работу по разработке SDCP для обеспечения безопасного канала между хостом и биометрическими устройствами, но, к сожалению, производители устройств, похоже, не понимают некоторых поставленных задач», — говорят исследователи.
Обнаружив, что протокол SDCP даже не был включен на двух из трех изученных ноутбуков, Blackwing Intelligence рекомендовала производителям решений для биометрической аутентификации убедиться в том, что SDCP включен, поскольку он не сможет предотвратить атаку, если не работает.
