Windows Hello, bucata l'autenticazione con impronta digitale di Microsoft. La colpa è dei produttori di notebook
I ricercatori di sicurezza di Blackwing Intelligence, su richiesta di Microsoft, hanno analizzato Windows Hello e hanno riscontrato carenze nel modo in cui i produttori di laptop implementano l'autenticazione tramite impronta digitale.
di Manolo De Agostini pubblicata il 22 Novembre 2023, alle 14:31 nel canale SicurezzaWindowsMicrosoft
L'autenticazione ai PC Windows tramite impronta digitale, parte della tecnologia Windows Hello, è stata aggirata dai ricercatori di Blackwing Intelligence sui sistemi di Dell, Lenovo e della stessa Microsoft. Lo riporta The Verge.
L'aggiramento della misura di sicurezza è stato possibile grazie alla scoperta di diverse vulnerabilità di sicurezza nei principali sensori di impronte digitali integrati nei notebook e usati ampiamente per l'autenticazione sicura tramite Windows Hello.
È stata proprio Microsoft, o meglio il suo Offensive Research and Security Engineering (MORSE), a chiedere a Blackwing Intelligence di analizzare la sicurezza dei sensori d'impronte digitali, lavoro che è poi stato esposto durante la conferenza BlueHat di Microsoft di ottobre.
Sensori ampiamente diffusi di Goodix, Synaptics ed ELAN sono stati scoperti vulnerabili a un attacco MITM - Man In The Middle - per mezzo di un dispositivo USB appositamente realizzato. Ciò significa che l'attacco si concretizza avendo il possesso di un notebook, cosa possibile ad esempio dopo un furto.
Dell Inspiron 15, Lenovo ThinkPad T14 e Microsoft Surface Pro X sono tutti caduti sotto l'attacco dei ricercatori, a patto che qualcuno si sia autenticato con l'impronta sul dispositivo almeno una volta.
Il team di Blackwing Intelligence ha eseguito il reverse engineering di hardware e software, scoprendo falle nell'implementazione crittografica in un TLS custom sul sensore di Synaptics. Un processo non certo alla portata di tutti ha richiesto la decodifica e la reimplementazione di protocolli crittografici.
Non è la prima volta, e probabilmente non sarà l'ultima, che l'autenticazione biometrica Windows Hello viene aggirata. Microsoft nel 2021 ha dovuto distribuire un fix per risolvere una vulnerabilità riguardante il riconoscimento facciale.
Non è chiaro, però, se Microsoft sarà in grado di risolvere da sola questi ultimi difetti. "Microsoft ha fatto un buon lavoro progettando il Secure Device Connection Protocol (SDCP) per fornire un canale sicuro tra l'host e i dispositivi biometrici, ma sfortunatamente i produttori di dispositivi sembrano fraintendere alcuni degli obiettivi", scrivono Jesse D'Aguanno e Timo Teräs, ricercatori di Blackwing Intelligence. "Inoltre, l'SDCP copre solo un ambito molto ristretto del funzionamento tipico di un dispositivo, mentre la maggior parte dei dispositivi ha una superficie di attacco considerevole esposta che non è affatto coperta dall'SDCP".
I ricercatori hanno scoperto che la protezione SDCP di Microsoft non era abilitata su due dei tre dispositivi presi di mira. Blackwing Intelligence raccomanda agli OEM di assicurarsi che l'SDCP sia abilitato e che l'implementazione del sensore di impronte digitali sia controllata da un esperto qualificato.
Recensione DJI Mini 5 Pro: il drone C0 ultra-leggero con sensore da 1 pollice
ASUS Expertbook PM3: il notebook robusto per le aziende
Test ride con Gowow Ori: elettrico e off-road vanno incredibilmente d'accordo
Cloudflare si scusa e spiega cos'è successo ieri: il peggior down dal 2019
Obbligati ad acquistare una scheda madre per ottenere la RAM: la follia che si diffonde a Taiwan
GTA VI su PC? La data non c'è, ma secondo l'azienda madre di Rockstar il futuro è dominato dal PC
Monopattini elettrici, a un anno dal decreto non si sa nulla di targa e assicurazione (e casco)
Tesla Robotaxi, autista di sicurezza si addormenta al volante. Segnalati nuovi incidenti
Samsung Galaxy S26: svelate le combinazioni di RAM e storage di tutti e tre i modelli
Microsoft Ignite: arriva Edge for Business, il primo browser con IA pensato per le aziende
OPPO e Lamine Yamal uniscono sport e tecnologia nel progetto “The New Generation”
Microsoft, NVIDIA e Anthropic siglano una nuova mega partnership sull'AI. Decine di miliardi in campo
SpaceX potrebbe comunicare alla NASA ritardi nello sviluppo di Starship e posticipare l'allunaggio al 2028
Scoperte cavità sotterranee scavate dall'acqua su Marte: nuovi obiettivi per cercare la vita 
OnePlus anticipa l'arrivo di due nuovi prodotti inediti in Italia
DJI lancia Osmo Action 6: la prima action cam del produttore con apertura variabile
NASA: conferenza stampa sulla cometa interstellare 3I/ATLAS domani sera (non aspettatevi gli alieni)
6 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoResta il fatto che MS, durante la costruzione del Surface (che non costa poco), avrebbe dovuto capire coi fornitori dei componenti se sussistevano problemi di sicurezza come questo.
Sarebbe interessante sapere se il Touch ID dei Mac è anche vulnerabile, ma forse no. Vediamo inoltre se MS riuscirà a fixare questo bug con un aggiornamento dei driver o del firmware degli scanner di impronte.
Da saltare a pié pari.
Difficile, avendo progettato tutto in casa il sistema di Apple (che siano mac o iphone) ha un chip dedicato per l'autenticazione, e non avendo il passaggio di consegne tra hardware e sistema operativo sviluppati a parte sarebbe grave se fossero soggetti a vulnerabilità del genere. Si tratta di due sistemi che non hanno nulla a che vedere.
Io per essere sicuro sul Thinkpad le ho attive entrambe, così alla prima che bucano entrano
Da saltare a pié pari.
Si come no... e l'analisi tecnica sarebbe?
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".