Οι ερευνητές κατάφεραν να σπάσουν τις σαρώσεις δακτυλικών αποτυπωμάτων του Windows Hello, αλλά δεν είναι τόσο τρομακτικό όσο νομίζετε αρχικά.
Η σύνδεση σε φορητό υπολογιστή Windows με σαρωτή δακτυλικών αποτυπωμάτων είναι εύκολη. απλά τοποθετήστε το δάχτυλό σας σε έναν σαρωτή και το λειτουργικό σύστημα σας επιτρέπει να μπείτε. Ωστόσο, οι ερευνητές έχουν δείξει ότι, ενώ αυτή η μέθοδος είναι βολική, δεν είναι στεγανή.
Λοιπόν, πώς μπορούν οι άνθρωποι να παραβιάσουν μια σάρωση δακτυλικών αποτυπωμάτων του Windows Hello και πρέπει να ανησυχείτε για αυτό;
Μπορούν οι άνθρωποι να χακάρουν τους σαρωτές δακτυλικών αποτυπωμάτων Windows Hello;
Εάν ένας χάκερ θέλει να παρακάμψει έναν σαρωτή δακτυλικών αποτυπωμάτων σε ένα μηχάνημα Windows, στοχεύει να ξεπεράσει μια υπηρεσία που ονομάζεται Windows Hello. Αυτή η υπηρεσία χειρίζεται τον τρόπο με τον οποίο συνδέεστε στα Windows, όπως PIN, σαρώσεις προσώπου και σαρώσεις δακτυλικών αποτυπωμάτων.
Ως μέρος της έρευνας για τη δύναμη του Windows Hello, δύο χάκερ με λευκά καπέλα
, Jesse D'Aguanno και Timo Teräs, δημοσίευσαν μια αναφορά στον ιστότοπό τους, HQ της Blackwing. Η αναφορά περιγράφει λεπτομερώς πώς παραβίασαν τρεις δημοφιλείς συσκευές: το Dell Inspiron 15, το Lenovo ThinkPad T14 και το Microsoft Surface Pro Type Cover.Πώς οι χάκερ παραβίασαν το Windows Hello στο Dell Inspiron 15
Για το Dell Inspiron 15, οι χάκερ παρατήρησαν ότι μπορούσαν να εκκινήσουν σε Linux στον φορητό υπολογιστή. Μόλις συνδεθούν στο Linux, μπορούν να καταχωρήσουν τα δακτυλικά τους αποτυπώματα στο σύστημα και να του δώσουν το ίδιο αναγνωριστικό με τον χρήστη των Windows στον οποίο θέλουν να συνδεθούν.
Στη συνέχεια, εκτελούν μια επίθεση man-in-the-middle στη σύνδεση μεταξύ του υπολογιστή και του αισθητήρα. Το ρύθμισαν έτσι ώστε όταν τα Windows κάνουν διπλό έλεγχο ότι ένα σαρωμένο δακτυλικό αποτύπωμα είναι νόμιμο, καταλήγει να ελέγχει τη βάση δεδομένων των δακτυλικών αποτυπωμάτων του Linux αντί για τη δική του.
Για να αποφύγουν το Windows Hello, οι χάκερ ανέβασαν τα δακτυλικά τους αποτυπώματα στη βάση δεδομένων Linux, του εκχώρησαν το ίδιο αναγνωριστικό με τον χρήστη στα Windows και στη συνέχεια προσπάθησαν να συνδεθούν στα Windows με τα δακτυλικά τους αποτυπώματα. Κατά τη διαδικασία ελέγχου ταυτότητας, ανακατεύθυναν το πακέτο στη βάση δεδομένων Linux, η οποία είπε στα Windows ότι ο χρήστης στο καθορισμένο αναγνωριστικό ήταν έτοιμος να συνδεθεί.
Πώς οι χάκερ παραβίασαν το Windows Hello στο Lenovo ThinkPad T14
Για το Lenovo ThinkPad, οι χάκερ ανακάλυψαν ότι ο φορητός υπολογιστής χρησιμοποιούσε μια προσαρμοσμένη μέθοδο κρυπτογράφησης για την επαλήθευση των δακτυλικών αποτυπωμάτων. Με λίγη δουλειά, οι χάκερ κατάφεραν να το αποκρυπτογραφήσουν, δίνοντάς τους έναν τρόπο στη διαδικασία επαλήθευσης δακτυλικών αποτυπωμάτων.
Μόλις ολοκληρωθεί, οι χάκερ θα μπορούσαν να αναγκάσουν τη βάση δεδομένων δακτυλικών αποτυπωμάτων να αποδεχθεί το δακτυλικό τους αποτύπωμα ως του χρήστη. Στη συνέχεια, το μόνο που έπρεπε να κάνουν ήταν να σαρώσουν το δακτυλικό τους αποτύπωμα για να αποκτήσουν πρόσβαση στο Lenovo ThinkPad.
Πώς οι χάκερ παραβίασαν το Windows Hello στο κάλυμμα τύπου Microsoft Surface Pro
Οι χάκερ πίστευαν ότι το Surface Pro θα ήταν η πιο δύσκολη συσκευή για να σπάσει, αλλά εξεπλάγησαν όταν ανακάλυψαν ότι το Surface Pro δεν είχε πολλά μέτρα ασφαλείας για τον έλεγχο έγκυρων δακτυλικών αποτυπωμάτων. Στην πραγματικότητα, ανακάλυψαν ότι έπρεπε να αποφύγουν μόνο μια άμυνα και μετά να πουν στο Surface Pro ότι η σάρωση δακτυλικών αποτυπωμάτων ήταν επιτυχής και η συσκευή τους άφησε να μπουν.
Τι σημαίνουν για εσάς αυτά τα χάκερ;
Αυτά τα hacks μπορεί να ακούγονται αρκετά τρομακτικά εάν χρησιμοποιείτε δακτυλικά αποτυπώματα για να συνδεθείτε στον φορητό υπολογιστή σας. Ωστόσο, είναι απαραίτητο να θυμάστε ορισμένα κρίσιμα πράγματα προτού παραιτηθείτε εντελώς από τις σαρώσεις δακτυλικών αποτυπωμάτων.
1. Οι επιθέσεις πραγματοποιήθηκαν από εξειδικευμένους χάκερ
Ο λόγος απειλές όπως ransomware ως υπηρεσία είναι τόσο θανατηφόρα που οποιοσδήποτε με ελάχιστη ασφάλεια στον κυβερνοχώρο μπορεί να τα χρησιμοποιήσει. Ωστόσο, τα παραπάνω hacks απαιτούν υψηλό επίπεδο τεχνογνωσίας, με βαθιά κατανόηση του τρόπου με τον οποίο οι συσκευές ελέγχουν την ταυτότητα των δακτυλικών αποτυπωμάτων και πώς να τα αποφύγετε.
2. Οι επιθέσεις απαιτούν από τον εισβολέα να αλληλεπιδράσει σωματικά με τη συσκευή
Οι χάκερ πρέπει να έχουν φυσική επαφή με τη συσκευή για να εκτελέσουν τα παραπάνω hacks. Στην αναφορά, οι χάκερ δήλωσαν ότι μπορεί να είναι σε θέση να δημιουργήσουν συσκευές USB που να μπορούν να το εκτελέσουν επίθεση μόλις συνδεθεί, αλλά αυτό σημαίνει ότι ένας πιθανός εισβολέας πρέπει να συνδέσει κάτι στον υπολογιστή σας χακάρω το.
3. Οι επιθέσεις λειτουργούν μόνο σε συγκεκριμένες συσκευές
Θα παρατηρήσετε ότι κάθε επίθεση έπρεπε να ακολουθήσει διαφορετικό μονοπάτι για να πετύχει τον ίδιο στόχο. Κάθε συσκευή είναι μοναδική και ένα hack που λειτουργεί σε μια συσκευή μπορεί να μην λειτουργεί σε μια άλλη. Ως εκ τούτου, δεν πρέπει να πιστεύετε ότι το Windows Hello έχει πλέον ανοίξει ορθάνοιχτα σε κάθε συσκευή. μόνο αυτά τα τρία απέτυχαν.
Αν και αυτά τα hacks μπορεί να ακούγονται τρομακτικά, θα είναι δύσκολο να εκτελέσουν ενάντια σε πραγματικούς στόχους. Ο χάκερ πιθανότατα θα πρέπει να κλέψει τη συσκευή για να εκτελέσει αυτές τις εισβολές, κάτι που αναμφίβολα θα ειδοποιούσε τον προηγούμενο ιδιοκτήτη.
Πώς να μείνετε ασφαλείς από την παραβίαση δακτυλικών αποτυπωμάτων
Όπως αναφέρθηκε παραπάνω, οι εισβολές που ανακαλύφθηκαν είναι πολύπλοκες στην εκτέλεση και μπορεί να απαιτήσουν από τον χάκερ να αφαιρέσει τη συσκευή για να την παραβιάσει φυσικά. Ως εκ τούτου, υπάρχει εξαιρετικά χαμηλή πιθανότητα αυτές οι επιθέσεις να στοχεύουν προσωπικά εσάς.
Ωστόσο, εάν εξακολουθείτε να μην είστε ικανοποιημένοι, υπάρχουν μερικοί τρόποι για να προστατευθείτε από τις παραβιάσεις του σαρωτή δακτυλικών αποτυπωμάτων:
1. Μην αφήνετε τις συσκευές αφύλακτες και απροστάτευτες
Επειδή ένας χάκερ θα χρειαστεί να αλληλεπιδράσει φυσικά με τη συσκευή σας, θα πρέπει να βεβαιωθείτε ότι δεν θα πέσει σε λάθος χέρια. Για υπολογιστές, μπορείτε λάβετε μέτρα για να αποτρέψετε την κλοπή του. Εάν χρησιμοποιείτε φορητό υπολογιστή, μην το αφήνετε ποτέ μόνο του σε δημόσιο χώρο και χρησιμοποιήστε ένα αντικλεπτική τσάντα φορητού υπολογιστή για να εμποδίσετε τους ανθρώπους να σκίσουν την τσάντα σας.
2. Χρησιμοποιήστε μια διαφορετική μέθοδο σύνδεσης
Το Windows Hello υποστηρίζει πολλές διαφορετικές μεθόδους σύνδεσης, μερικές πιο ασφαλείς από άλλες. Εάν έχετε ερωτευτεί τις σαρώσεις δακτυλικών αποτυπωμάτων, ελέγξτε αν Τα στοιχεία σύνδεσης προσώπου, ίριδας, δακτυλικού αποτυπώματος, PIN ή κωδικού πρόσβασης είναι πιο ασφαλή, και επιλέξτε αυτό που σας ταιριάζει καλύτερα.
