Microsoft сама обратилась с просьбой о проверке к экспертам

Исследователи безопасности из Blackwing Intelligence обнаружили множество уязвимостей в трёх распространённых сканерах отпечатков пальцев, которые встроены в ноутбуки и широко используются предприятиями для защиты с помощью Windows Hello.

Аутентификацию по отпечатку пальца Microsoft Windows Hello удалось обойти на ноутбуках Dell, Lenovo и даже Microsoft. Команда выбрала для оценки популярные датчики отпечатков пальцев от Goodix, Synaptics и ELAN. 

В недавно опубликованном сообщении в блоге исследователей подробно описывается процесс создания USB-устройства, которое можно использовать для атаки. В результате можно получить доступ к украденному или даже просто оставленному без присмотра ноутбуку. Взлом удалось выполнить на Dell Inspiron 15, Lenovo ThinkPad T14 и Microsoft Surface Pro X. 

Сканеры отпечатков пальцев теперь широко используются пользователями ноутбуков с ОС Windows благодаря стремлению Microsoft к «будущему без паролей». Три года назад Microsoft сообщила, что почти 85% потребителей использовали Windows Hello для входа на устройства с Windows 10 вместо пароля. 

Неясно, сможет ли Microsoft исправить обнаруженные недостатки в одиночку. Исследователи в отчёте отметили:

Microsoft проделала хорошую работу по разработке протокола безопасного подключения устройств (SDCP), чтобы обеспечить безопасный канал между хостом и биометрическими устройствами, но, к сожалению, производители устройств, похоже, неправильно понимают некоторые задачи. 

Исследователи обнаружили, что защита Microsoft SDCP не была включена на двух устройствах из трёх. Blackwing Intelligence теперь рекомендует OEM-производителям убедиться, что SDCP включён, и обеспечить проверку датчика отпечатков пальцев квалифицированным экспертом.