I ricercatori sono riusciti a bypassare con successo l’autenticazione tramite impronta digitale di Windows Hello di Microsoft

Un gruppo di sicurezza assunto da Microsoft per testare l’hardware e il software di autenticazione delle impronte digitali di Windows Hello ha pubblicato la notizia che sono stati in grado di aggirare tale tecnologia su un numero di laptop, incluso un prodotto Microsoft Surface.

Il gruppo Blackwell Intelligence ha rivelato le proprie scoperte in ottobre nell’ambito della conferenza sulla sicurezza BlueHat di Microsoft, ma ha pubblicato i risultati solo sul proprio sito questa settimana (tramite The Verge< un i=2>). Il post sul blog, dal titolo accattivante “A Touch of Pwn“, afferma che il gruppo ha utilizzato i sensori di impronte digitali all’interno del Dell Inspiron 15 e del Lenovo ThinkPad Laptop T14, insieme alla cover con tasti Microsoft Surface Pro con ID impronta digitale realizzata per i tablet Surface Pro 8 e X. I sensori di impronte digitali specifici sono stati realizzati da Goodix, Synaptics ed ELAN.

Tutti i sensori di impronte digitali supportati da Windows Hello che sono stati testati utilizzavano hardware “match on chip”, il che significa che l’autenticazione viene gestita sul sensore stesso che dispone di un proprio microprocessore e spazio di archiviazione. Blackwell ha dichiarato:

Un database di “modelli di impronte digitali” (i dati biometrici ottenuti dal sensore di impronte digitali) è archiviato sul chip e la registrazione e la corrispondenza vengono eseguite direttamente all’interno del chip. Poiché i modelli delle impronte digitali non lasciano mai il chip, ciò elimina i problemi di privacy relativi al materiale biometrico archiviato e potenzialmente esfiltrato dall’host, anche se l’host è compromesso. Questo approccio previene anche gli attacchi che implicano semplicemente l’invio di immagini di impronte digitali valide all’host per la corrispondenza.

Blackwell ha utilizzato il reverse engineering per trovare difetti nei sensori delle impronte digitali e quindi ha creato il proprio dispositivo USB in grado di eseguire un attacco man-in-the-middle (MitM). Questo dispositivo ha consentito loro di bypassare l’hardware di autenticazione delle impronte digitali in tali dispositivi.

Il blog sottolinea inoltre che mentre Microsoft utilizza il Secure Device Connection Protocol (SDCP) “per fornire un canale sicuro tra l’host e i dispositivi biometrici”, due dei tre sensori di impronte digitali testati non avevano nemmeno l’SDCP abilitato. Blackwell ha raccomandato a tutte le aziende produttrici di sensori di impronte digitali non solo di abilitare l’SDCP sui propri prodotti, ma anche di rivolgersi a una società terza per assicurarsi che funzioni.

Va sottolineato che per aggirare questi prodotti hardware con impronte digitali ci sono voluti “circa tre mesi” di lavoro da parte di Blackwell, con molto impegno, ma il punto è che hanno avuto successo. Resta da vedere se Microsoft, o le società produttrici di sensori di impronte digitali, potranno utilizzare questa ricerca per risolvere questi problemi.