Windows Hello: riscontrati difetti nell'autenticazione di Microsoft

L'autenticazione tramite impronta digitale Windows Hello di Microsoft è stata bypassata sui laptop prodotti da Dell, Lenovo, ma anche Microsoft. Ciò è quanto riscontrato dai ricercatori di sicurezza di Blackwing Intelligence in uno studio promosso dalla stessa azienda di Redmond. I ricercatori hanno scoperto molteplici vulnerabilità nei tre principali sensori di impronte digitali incorporati nei laptop e ampiamente utilizzati dalle aziende per proteggere i dispositivi con l'autenticazione delle impronte digitali di Windows Hello. L'Offensive Research and Security Engineering (MORSE) di Microsoft ha chiesto nei mesi scorsi a Blackwing Intelligence di valutare la sicurezza dei sensori di impronte digitali. I risultati di questa ricerca sono stati quindi mostrati nel corso di una presentazione alla conferenza BlueHat di Microsoft svoltasi lo scorso ottobre.

Windows Hello: lo studio dei ricercatori di Blackwing Intelligence

Il team di Blackwing Intelligence ha preso come oggetto di studio i popolari sensori di impronte digitali di Goodix, Synaptics ed ELAN. I ricercatori hanno utilizzato questi dispositivi all'interno dei laptop Dell Inspiron 15 e Lenovo ThinkPad T14. Lo studio è poi stato effettuato anche su Microsoft Surface Pro Type con Fingerprint ID, realizzata per i tablet Surface Pro 8 e X. Tutti i sensori di impronte digitali supportati da Windows Hello che sono stati testati utilizzavano hardware "match on chip". Ciò significa che l'autenticazione viene gestita sul sensore stesso che dispone di un proprio microprocessore e spazio di archiviazione. Blackwing ha utilizzato la reverse engineering per trovare vulnerabilità nei sensori di impronte digitali e quindi ha creato un proprio dispositivo USB in grado di eseguire un attacco man-in-the-middle (MitM). Questo dispositivo ha consentito loro di bypassare l'hardware di autenticazione delle impronte digitali in tali dispositivi.

I ricercatori hanno scoperto che la protezione SDCP (Secure Device Connection Protocol) di Microsoft non era abilitata su due dei tre dispositivi presi in esame. Blackwing Intelligence raccomanda quindi ai produttori di assicurarsi che l’SDCP sia abilitato. Inoltre i produttori devono assicurarsi che l’implementazione del sensore di impronte digitali sia controllata da un esperto qualificato. Infine, Blackwing Intelligence sta anche studiando attacchi di corruzione della memoria sul firmware del sensore e persino sulla sicurezza del sensore di impronte digitali su dispositivi Linux, Android e Apple. I risultati di tali test verranno pubblicati nei prossimi mesi.