Pesquisas de segurança anunciaram que foram descobertas múltiplas vulnerabilidades no Windows Hello da Microsoft.
Um número crescente de laptops Windows possui sensores de impressão digital com suporte para a tecnologia Windows Hello da Microsoft. A ideia é permitir que os usuários façam login rapidamente tocando com o dedo no sensor, em vez de digitar uma senha ou PIN.
Mas os pesquisadores de segurança da Blackwing Intelligence encontraram “múltiplas vulnerabilidades” na implementação desses sensores de impressão digital que permitem fazer login sem a impressão digital correta.
Descobertas múltiplas vulnerabilidades no Windows Hello
A Microsoft não apenas está ciente das vulnerabilidades – a empresa realmente pediu à Blackwing para tentar encontrar vulnerabilidades nos “três principais sensores de impressão digital incorporados em laptops e usados para autenticação de impressão digital do Windows Hello”, incluindo sensores da Goodix, Synaptic e ELAN.
Para fazer isso, a equipe visou um Dell Inspiron 15, um Lenovo ThinkPad T14 e uma capa tipo Microsoft Surface Pro com identificação de impressão digital… e conseguiu ignorar a autenticação do Windows Hello em todos os três.
Você pode escrever um processo detalhado de como eles procuraram, encontraram e exploraram vulnerabilidades de segurança em uma postagem de blog ou assistindo a um vídeo da apresentação da Blackwing na conferência de segurança BlueHat da Microsoft em outubro.
Resumindo, porém, os hacks tendiam a envolver convencer o sensor de impressão digital de que uma impressão digital diferente daquela habilitada pelo usuário do Windows Hello era legítima.
Para fazer isso, as pesquisas de segurança tomaram medidas como desconectar um sensor de impressão digital de um laptop Windows, conectá-lo a um computador Raspberry Pi 4 rodando Linux e, em seguida, executar algum código MitM (Man in the Middle) que identificou impressões digitais válidas no banco de dados do Windows e permitiu que um usuário registrasse uma nova impressão digital nesse banco de dados.
Depois de concluído, o invasor poderá fazer login usando sua própria impressão digital e o Windows pensará que é o usuário legítimo.
Embora a equipe tenha levado três meses para descobrir e explorar essas vulnerabilidades, eles relatam que agora têm “três desvios 100% confiáveis de autenticação do Windows Hello”.
Por que foi tão (relativamente) fácil? Primeiro, embora o Windows Hello tenha sido projetado para usar um protocolo de conexão de dispositivo seguro (Secure Device Connection Protocol, ou SDCP), que os pesquisadores da Blackwing são muito bons em fornecer “um canal seguro entre o host e os dispositivos biométricos”, dois dos três dispositivos visados nem sequer tinham SDCP ativado.
E o SDCP cobre apenas parte da superfície de ataque, o que significa que mesmo em dispositivos que o possuem habilitado, há muitos outros locais onde procurar vulnerabilidades.
As recomendações da Blackwire? Todas as empresas que produzem sensores de impressão digital compatíveis com o Window Hello deveriam ativar o SDCP, e contratar pesquisadores de segurança para procurar outras vulnerabilidades que deveriam ser corrigidas.
Não está claro se as vulnerabilidades descobertas serão corrigidas em breve; portanto, se você estiver preocupado com a segurança, considere mudar para um PIN ou uma senha exclusiva.
Se você está mais preocupado com a conveniência, suponho que você possa apenas esperar que ninguém com conhecimento e motivação coloque as mãos em seu laptop tão cedo.