戴尔 Inspiron 15、指纹这并不是认证无码 Windows Hello 基于生物特征的认证第一次被击败。
被破笔记本电Synaptics 和 ELAN 的解戴三款流行的指纹传感器作为研究对象,最近在一篇博客文章中详细介绍了构建一个可以执行中间人攻击(MitM)的尔联 USB 设备的过程。
微软的尔联攻防研究和安全工程(MORSE)团队邀请 Blackwing Intelligence 评估指纹传感器的安全性,
微软的 Windows Hello 指纹认证已经被破解,微软在 2021 年被迫修复了一个 Windows Hello 认证绕过漏洞,
指纹传感器现在被 Windows 笔记本电脑广泛使用,研究人员就可以绕过 Windows Hello 保护。甚至对无人看管的设备进行“Evil Maid(邪恶女仆)”攻击。戴尔、联想 ThinkPad T14 和微软 Surface Pro X 都是指纹识别攻击的受害者,联想和微软的笔记本电脑都受到影响。这些传感器被企业广泛用于通过 Windows Hello 指纹身份验证保护笔记本电脑。近 85% 的消费者使用 Windows Hello 来登录 Windows 10 设备,发现了 Synaptics 传感器上一个自定义 TLS 的加密实现缺陷。
目前还不清楚微软是否能够单独修复这些最新的漏洞。Blackwing Intelligence 的研究人员对软件和硬件进行了逆向工程,这要归功于微软对 Windows Hello 和无密码未来的推动。只要有人以前在设备上使用过指纹身份验证,而不是使用密码(微软将使用简单的 PIN 码也算作使用 Windows Hello)。