Найпопулярніші ноутбуки у світі містять критичну вразливість безпеки

Дослідники кібербезпеки з компанії Blackwing Intelligence виявили безліч вразливостей у трьох поширених сканерах відбитків пальців, які вбудовані у ноутбуки й широко застосовуються у корпоративній діяльності для захисту за допомогою Windows Hello.

Аутентифікацію за відбитком пальця Microsoft Windows Hello вдалося обійти на ноутбуках Dell, Lenovo і навіть Microsoft. Команда вибрала для оцінки популярні датчики відбитків пальців від Goodix, Synaptics і ELAN.

Дослідники детально описали процес створення USB-пристрою, який можна використовувати для атаки. Використовуючи його, можна отримати доступ до вкраденого або навіть просто залишеного без нагляду ноутбука. Злом вдалося виконати на Dell Inspiron 15, Lenovo ThinkPad T14 і Microsoft Surface Pro X.

Сканери відбитків пальців тепер широко використовуються користувачами ноутбуків з ОС Windows завдяки прагненню Microsoft до «майбутнього без паролів». Три роки тому Microsoft повідомила, що майже 85% споживачів використовували Windows Hello для входу на пристрої з Windows 10 замість пароля.

Наразі незрозуміло, чи зможе Microsoft виправити виявлені недоліки самотужки. Дослідники Blackwing Intelligence у своєму звіті зазначили: «Microsoft виконала добру роботу з розробки протоколу безпечного підключення пристроїв (SDCP), щоб забезпечити безпечний канал між хостом і біометричними пристроями, але, на жаль, виробники пристроїв, схоже, неправильно розуміють деякі завдання».

Дослідники виявили, що захист Microsoft SDCP не було ввімкнено на двох пристроях із трьох. Blackwing Intelligence рекомендують OEM-виробникам переконатися, що SDCP увімкнено, й забезпечити перевірку датчика відбитків пальців кваліфікованим техноекспертом.