Čtečky otisků prstů pro Microsoft Windows Hello mohou mít bezpečnostní chyby

Už před třemi lety Microsoft tvrdil, že uživatelé Windows 10 v 85 % případů používají systém přihlašování Windows Hello místo prostého hesla. Problém je v tom, že do Hello počítá i přihlašování PINem, což je v podstatě jen jiná forma hesla. Každopádně biometrická forma přihlašování je stále častější, na noteboocích je dnes už téměř standardem, jak se ale ukazuje, není tak bezpečná, jak se původně předpokládalo. Nemůže ale za to přímo Microsoft, jako spíše výrobci notebooků a biometrických senzorů, přičemž nejde jen o chyby hardwaru, ale také jejich interního softwaru (firmwaru). Podle odborníků byl protokol Secure Device Connection Protocol (SDCP), který může Hello používat pro bezpečnější komunikaci operačního systému se senzorem, navržen dobře, zjišťuje se ale, že problémy u reálných zařízení vznikají v nesprávné nebo úplně chybějící implementaci výrobci počítačů. 

 

U některých zařízení tato podpora chyběla (resp. funkce nebyla aktivována), objevily se také problémy ve firmwaru čteček otisků prstů. Autentizace pomocí otisků prstů se kvůli chybám v senzorech dala dle bezpečnostních výzkumníků v Blackwing Intelligence obejít v noteboocích např. od Dellu (Inspiron 15), Lenova (ThinkPad T14) i Microsoftu (Surface Pro X). Do notebooků bylo možné se dostat, pokud majitel dříve použil otisk prstů k přístupu do zařízení. Notebooky totiž využívají snímač od Synaptics a právě ten měl bezpečnostní chyby. Ani použití bezpečnější metody SDCP pro lepší komunikaci systému se senzorem pak nestačila k tomu, aby se eliminovala chyba v senzoru (nemluvě o tom, že některé notebooky tuto lepší metodu vůbec ani nepoužívají). Připomeňme, že část Windows Hello v oblasti rozpoznávání tváří byla hacknuta už před dvěma lety. 

 

Zdroj: digitaltrends.com