Microsoft ve diğer teknoloji devleri, genel olarak tipik şifrelerden daha güvenli olduğu düşünülen biyometriye doğru genel bir yönelimi teşvik ediyor. Ancak araştırmalar, biyometrinin kusursuz olmadığını defalarca gösterdi ve yakın zamanda yapılan bir araştırma, karmaşık bir üretim zincirindeki tek bir zayıf halkanın, tüm güvenlik sistemini nasıl tehlikeye atabileceğini gösteriyor.
Bir istihbarat şirketi yakın zamanda en popüler dizüstü bilgisayarların bazılarında Windows Hello parmak izi kimlik doğrulamasını atlatmaya yönelik konsept kanıtlarını paylaşmaya başladı. Her iki durumda da birincil kusur, parmak izi okuyucusu ile sistemin geri kalanı arasındaki iletişimdi.
Microsoft, Blackwing Intelligence'daki araştırmacılardan, parmak izi sensörlerine sahip önde gelen üç dizüstü bilgisayar modelindeki Windows Hellow uygulamalarını bu özelliği kullanarak kırmalarını istedi: Dell Inspiron 15, Lenovo ThinkPad T14 ve Microsoft Surface Pro için parmak izi sensörlü takılabilir klavye. Blackwing, hiçbiri fotoğraf kullanmak gibi tipik biyometrik hackleme yöntemlerini içermeyen çeşitli yöntemler kullanarak üçünü de başarıyla ele geçirdi .
Saldırganların parmak izi veya yüz taraması gibi biyometrik verileri kopyalamasını önlemek için, Microsoft ve Apple gibi şirketlerin kimlik doğrulayıcıları, bilgileri cihazın birincil deposundan erişilemeyecek ayrı çiplerde saklıyor. Ancak bu çiplerin yine de doğru imzayı aldıklarını işletim sistemine bildirmeleri gerekiyor. Bu sinyal, araştırmacıların istismar ettiği zayıf noktadır.
Microsoft, parmak izi sensörleri ile bunların ana cihazları arasındaki bağlantıyı korumak için Güvenli Cihaz Bağlantı Protokolü (SDCP) adı verilen bir sistem tasarladı. Ancak Blackwing'in test ettiği ürünler arasında yalnızca Dell Inspiron onu kullandı ve uygulaması mükemmel değildi.
Bu cihazın zayıflığı, parmak izlerini farklı şekilde onaylayan Windows ve Linux'u çift önyükleme yeteneğidir. Blackwing, sürecin karmaşık olmasına ve Raspberry Pi 4 dahil olmak üzere ek donanım gerektirmesine rağmen, bir saldırganın parmak izini Linux'a kaydedebileceğini ve bunu başka birinin Windows kimliğiyle eşleştirebileceğini buldu.
Blackwing, Windows ve Linux arasındaki benzer bir müzakereyle Thinkpad'in üstesinden geldi ancak araştırmacılar, Lenovo'nun dizüstü bilgisayarı SDCP devre dışı bırakılmış olarak gönderdiğini keşfetti. Bunun yerine şirket, her makinenin ürün adı ve seri numarasına dayalı bir anahtarla parmak izi verilerinin şifresini çözen özel bir sistem kullanıyor.
Microsoft'un Surface Pro aksesuarı, parmak izi sensörü açısından özellikle zayıf bir güvenliğe sahip. Ayrıca SDCP'yi devreye sokmaz ve ek kimlik doğrulama katmanları olmadan açık metin olarak iletişim kurar. Araştırmacılar, hemen hemen her USB cihazını kullanarak bir kimliği taklit edebileceklerini keşfettiler.
Blackwing sonunda araştırmasının daha fazla ayrıntısını yayınlamayı planlıyor. Grup, OEM'lerin Windows Hello'yu etkinleştiren SDCP'yi kullanmasını ve uygulamalarını kapsamlı bir şekilde test etmesini önermektedir. Ancak güvenlik açıklarından yararlanma her cihaza fiziksel erişim gerektirdiğinden biyometrik oturum açma işlemleri şifrelerden daha güvenli kalıyor.
Kanak:
https://www.techspot.com/news/100936-re ... ation.html
