Windows Hello, bucata l'autenticazione con impronta digitale di Microsoft. La colpa è dei produttori di notebook

L'autenticazione ai PC Windows tramite impronta digitale, parte della tecnologia Windows Hello, è stata aggirata dai ricercatori di Blackwing Intelligence sui sistemi di Dell, Lenovo e della stessa Microsoft. Lo riporta The Verge.

L'aggiramento della misura di sicurezza è stato possibile grazie alla scoperta di diverse vulnerabilità di sicurezza nei principali sensori di impronte digitali integrati nei notebook e usati ampiamente per l'autenticazione sicura tramite Windows Hello.

È stata proprio Microsoft, o meglio il suo Offensive Research and Security Engineering (MORSE), a chiedere a Blackwing Intelligence di analizzare la sicurezza dei sensori d'impronte digitali, lavoro che è poi stato esposto durante la conferenza BlueHat di Microsoft di ottobre.

Sensori ampiamente diffusi di Goodix, Synaptics ed ELAN sono stati scoperti vulnerabili a un attacco MITM - Man In The Middle - per mezzo di un dispositivo USB appositamente realizzato. Ciò significa che l'attacco si concretizza avendo il possesso di un notebook, cosa possibile ad esempio dopo un furto.

Dell Inspiron 15, Lenovo ThinkPad T14 e Microsoft Surface Pro X sono tutti caduti sotto l'attacco dei ricercatori, a patto che qualcuno si sia autenticato con l'impronta sul dispositivo almeno una volta.

Il team di Blackwing Intelligence ha eseguito il reverse engineering di hardware e software, scoprendo falle nell'implementazione crittografica in un TLS custom sul sensore di Synaptics. Un processo non certo alla portata di tutti ha richiesto la decodifica e la reimplementazione di protocolli crittografici.

Non è la prima volta, e probabilmente non sarà l'ultima, che l'autenticazione biometrica Windows Hello viene aggirata. Microsoft nel 2021 ha dovuto distribuire un fix per risolvere una vulnerabilità riguardante il riconoscimento facciale.

Non è chiaro, però, se Microsoft sarà in grado di risolvere da sola questi ultimi difetti. "Microsoft ha fatto un buon lavoro progettando il Secure Device Connection Protocol (SDCP) per fornire un canale sicuro tra l'host e i dispositivi biometrici, ma sfortunatamente i produttori di dispositivi sembrano fraintendere alcuni degli obiettivi", scrivono Jesse D'Aguanno e Timo Teräs, ricercatori di Blackwing Intelligence. "Inoltre, l'SDCP copre solo un ambito molto ristretto del funzionamento tipico di un dispositivo, mentre la maggior parte dei dispositivi ha una superficie di attacco considerevole esposta che non è affatto coperta dall'SDCP".

I ricercatori hanno scoperto che la protezione SDCP di Microsoft non era abilitata su due dei tre dispositivi presi di mira. Blackwing Intelligence raccomanda agli OEM di assicurarsi che l'SDCP sia abilitato e che l'implementazione del sensore di impronte digitali sia controllata da un esperto qualificato.