Tyrėjai sugebėjo įveikti „Windows Hello“ pirštų atspaudų nuskaitymus, tačiau tai nėra taip baisu, kaip iš pradžių manote.
Lengva prisijungti prie „Windows“ nešiojamojo kompiuterio su pirštų atspaudų skaitytuvu; tiesiog uždėkite pirštą ant skaitytuvo ir operacinė sistema leis jums patekti. Tačiau mokslininkai parodė, kad nors šis metodas yra patogus, jis nėra atsparus įsilaužimui.
Taigi, kaip žmonės gali nuskaityti „Windows Hello“ pirštų atspaudus ir ar turėtumėte dėl to nerimauti?
Ar žmonės gali nulaužti „Windows Hello“ pirštų atspaudų skaitytuvus?
Jei įsilaužėlis nori apeiti pirštų atspaudų skaitytuvą „Windows“ įrenginyje, jis siekia apeiti paslaugą, vadinamą „Windows Hello“. Ši paslauga tvarko, kaip prisijungiate prie „Windows“, pvz., PIN kodus, veido nuskaitymą ir pirštų atspaudų nuskaitymą.
Tiriant „Windows Hello“ pranašumus, du baltos kepurės įsilaužėliai, Jesse D'Aguanno ir Timo Teräs paskelbė pranešimą savo svetainėje, „Blackwing“ būstinė. Ataskaitoje išsamiai aprašoma, kaip jie pažeidė tris populiarius įrenginius: „Dell Inspiron 15“, „Lenovo ThinkPad T14“ ir „Microsoft Surface Pro Type Cover“.
Kaip įsilaužėliai pažeidė „Windows Hello“ naudodami „Dell Inspiron 15“.
„Dell Inspiron 15“ įsilaužėliai pastebėjo, kad nešiojamajame kompiuteryje gali paleisti „Linux“. Prisijungę prie „Linux“, jie gali užregistruoti savo pirštų atspaudus sistemoje ir suteikti jai tą patį ID kaip ir „Windows“ naudotojui, prie kurio nori prisijungti.
Tada jie įvykdo „man-in-the-middle“ ataką prieš ryšį tarp kompiuterio ir jutiklio. Jie nustato taip, kad kai „Windows“ dar kartą patikrina, ar nuskaitytas pirštų atspaudas yra teisėtas, ji baigia patikrinti „Linux“ pirštų atspaudų duomenų bazę, o ne savo.
Norėdami išvengti „Windows Hello“, įsilaužėliai įkėlė savo pirštų atspaudus į „Linux“ duomenų bazę, priskyrė jai tą patį ID kaip ir „Windows“ naudotojui, o tada bandė prisijungti prie „Windows“ naudodami savo pirštų atspaudus. Autentifikavimo proceso metu jie nukreipė paketą į „Linux“ duomenų bazę, kuri pranešė „Windows“, kad nurodyto ID vartotojas yra pasirengęs prisijungti.
Kaip įsilaužėliai pažeidė „Windows Hello“ naudodami „Lenovo ThinkPad T14“.
„Lenovo ThinkPad“ įsilaužėliai išsiaiškino, kad nešiojamasis kompiuteris naudojo pasirinktinį šifravimo metodą pirštų atspaudams patikrinti. Atlikę tam tikrą darbą, įsilaužėliams pavyko jį iššifruoti, suteikdami jiems kelią į pirštų atspaudų tikrinimo procesą.
Kai tai padarys, įsilaužėliai gali priversti pirštų atspaudų duomenų bazę priimti jų pirštų atspaudus kaip vartotojo. Tada jiems tereikėjo nuskaityti pirštų atspaudus, kad pasiektų „Lenovo ThinkPad“.
Kaip įsilaužėliai pažeidė „Windows Hello“ ant „Microsoft Surface Pro Type“ viršelio
Įsilaužėliai manė, kad „Surface Pro“ bus sunkiausiai nulaužiamas įrenginys, tačiau jie nustebo, kad „Surface Pro“ trūko daug saugumo priemonių, skirtų patikrinti galiojančius pirštų atspaudus. Tiesą sakant, jie išsiaiškino, kad jiems tereikia apeiti vieną gynybą, tada pasakyti „Surface Pro“, kad pirštų atspaudų nuskaitymas buvo sėkmingas, o įrenginys juos leido.
Ką šie įsilaužimai reiškia jums?
Šie įsilaužimai gali atrodyti gana baisūs, jei prisijungdami prie nešiojamojo kompiuterio naudojate pirštų atspaudus. Tačiau prieš visiškai atsisakant pirštų atspaudų nuskaitymo, būtina atsiminti kai kuriuos esminius dalykus.
1. Atakas atliko įgudę įsilaužėliai
Priežastis grasinimai kaip ransomware kaip paslauga yra tokie mirtini, kad visi, turintys minimalų kibernetinį saugumą, gali jomis naudotis. Tačiau minėtiems įsilaužimams reikia aukšto lygio patirties, turint gilų supratimą, kaip įrenginiai autentifikuoja pirštų atspaudus ir kaip jų išvengti.
2. Dėl atakų užpuolikas turi fiziškai sąveikauti su įrenginiu
Norėdami atlikti pirmiau nurodytus įsilaužimus, įsilaužėliai turi turėti fizinį kontaktą su įrenginiu. Ataskaitoje įsilaužėliai teigė, kad gali sukurti USB įrenginius, galinčius atlikti ataka, kai ji buvo prijungta, bet tai reiškia, kad potencialus užpuolikas turi ką nors prijungti prie jūsų kompiuterio nulaužti.
3. Atakos veikia tik tam tikruose įrenginiuose
Pastebėsite, kad kiekviena ataka turėjo eiti skirtingu keliu, kad būtų pasiektas tas pats tikslas. Kiekvienas įrenginys yra unikalus, o įsilaužimas, kuris veikia viename įrenginyje, gali neveikti kitame. Todėl neturėtumėte patikėti, kad „Windows Hello“ dabar buvo plačiai atidaryta kiekviename įrenginyje; tik šiems trims nepavyko.
Nors šie įsilaužimai gali atrodyti baisūs, juos bus sudėtinga atlikti prieš tikrus taikinius. Tikėtina, kad įsilaužėlis turės pavogti įrenginį, kad galėtų atlikti šiuos įsilaužimus, o tai neabejotinai įspėtų ankstesnį savininką.
Kaip apsisaugoti nuo įsilaužimo į pirštų atspaudus
Kaip minėta pirmiau, aptiktus įsilaužimus atlikti sudėtinga, todėl įsilaužėliui gali tekti pašalinti įrenginį, kad galėtų fiziškai į jį įsilaužti. Todėl labai maža tikimybė, kad šios atakos bus nukreiptos asmeniškai į jus.
Tačiau, jei vis dar nesate patenkinti, yra keletas būdų, kaip apsisaugoti nuo pirštų atspaudų skaitytuvo įsilaužimo:
1. Nepalikite įrenginių be priežiūros ir neapsaugotų
Kadangi įsilaužėlis turės fiziškai sąveikauti su jūsų įrenginiu, turėtumėte užtikrinti, kad jis nepatektų į netinkamas rankas. Kompiuteriams galite imtis priemonių, kad jis nebūtų pavogtas. Jei naudojate nešiojamąjį kompiuterį, niekada nepalikite jo vieno viešoje erdvėje ir naudokite nešiojamojo kompiuterio krepšys nuo vagystės kad žmonės neplėštų tavo krepšio.
2. Naudokite kitą prisijungimo būdą
„Windows Hello“ palaiko daugybę skirtingų prisijungimo būdų, kai kurie yra saugesni nei kiti. Jei pamilote pirštų atspaudų nuskaitymus, patikrinkite, ar veido, rainelės, pirštų atspaudų, PIN kodo ar slaptažodžio prisijungimai yra saugesni, ir išsirinkite sau tinkamiausią.