Η Microsoft διαφημίζει τον άσπαστο έλεγχο ταυτότητας του Windows Hello που χρησιμοποιεί βιομετρικά στοιχεία ή ένα PIN στα Windows. Ωστόσο, το Windows Hello δεν έρχεται χωρίς ελαττώματα. Το 2023, ερευνητές ασφαλείας κατάφεραν να παρακάμψουν τον έλεγχο ταυτότητας με δακτυλικά αποτυπώματα αλλά και το 2007 με μια φωτογραφία στο Windows Hello. Ένα χρόνο νωρίτερα, ένα σφάλμα προκάλεσε τη διακοπή λειτουργίας των συνδέσεων στο Windows Hello, αφού τα συστήματα αναβαθμίστηκαν στην τότε τελευταία έκδοση των Windows, την έκδοση 22H2.
Δύο ερευνητές ασφαλείας παρουσίασαν ένα άλλο ελάττωμα στο Windows Hello στο συνέδριο Black Hat στο Las Vegas. Οι Dr Baptiste David και Tillmann Osswald από την ERNW Research έδειξαν πώς μπορεί κάποιος να σπάσει τον έλεγχο ταυτότητας του Windows Hello.
Η ερευνητική ομάδα παρουσίασε πώς θα μπορεί ένας hacker να εισάγει βιομετρικά δεδομένα σε έναν υπολογιστή με Windows για να ξεκλειδώσει το σύστημα. Βρήκαν ένα ελάττωμα στη βάση δεδομένων CryptProtectData, η οποία ασφαλίζει τις πληροφορίες ελέγχου ταυτότητας. Το ελάττωμα απαιτεί πρόσβαση διαχειριστή.
Πώς να προστατεύσετε το σύστημά σας από την επίθεση
Οι ερευνητές αναφέρουν ότι οι χρήστες των Windows έχουν δύο επιλογές για να προστατεύσουν τις συσκευές τους από αυτήν τη συγκεκριμένη επίθεση.
Ενισχυμένη ασφάλεια σύνδεσης (ESS από το Enhanced Sign-In Security) του Windows Hello: εάν είναι ενεργοποιημένη η ESS, η παραβίαση δεν είναι δυνατή. Ενεργοποιείται από προεπιλογή, υπό την προϋπόθεση ότι ο υπολογιστής πληροί όλες τις απαιτήσεις (βλέπε TPM 2 και νέες CPU).
PIN αντί για βιομετρικά: Η εναλλαγή σε PIN αντί για χρήση βιομετρικών είναι μια άλλη επιλογή, σύμφωνα με τους ερευνητές.
Η Ενισχυμένη ασφάλεια σύνδεσης προστατεύει τον αλγόριθμο προσώπου χρησιμοποιώντας VBS. Αυτό τον απομονώνει από τα υπόλοιπα Windows. Οι απαιτήσεις συστήματος περιλαμβάνουν το TPM 2.0, firmware με Secure Devices ACPI table και drivers βιομετρικού αισθητήρα που υποστηρίζουν / είναι συμβατά με την ESS.
Φυσικά δεν υποστηρίζουν όλα τα συστήματα την ESS. Οι ερευνητές ανέφεραν στο The Register ότι αγόρασαν Thinkpads πριν από λιγότερο από δύο χρόνια και ότι δεν υποστήριζαν την ESS επειδή “δεν διαθέτουν ασφαλή αισθητήρα για την κάμερα επειδή χρησιμοποιούν chip της AMD και όχι της Intel”.
Το πρόβλημα θα είναι δύσκολο να διορθωθεί σύμφωνα με τους ερευνητές. Θα απαιτούσε μια “επανεγγραφή του κώδικα” ή κάποια άλλη αλλαγή, όπως την χρήση TPM για την αποθήκευση των βιομετρικών δεδομένων.
Αν και τα δελτία τύπου θα είναι από πολύ επιλεγμένα έως και σπάνια, είπα να περάσω … γιατί καμιά φορά κρύβονται οι συντάκτες.
Δεν πειράζει θα το ξανακολλήσουν