إن مستشعر بصمة الإصبع في الكمبيوتر المحمول مريح، ولكن هل هو آمن؟ نجح الباحثون في شركة Blackwing Intelligence في تجاوز نظام بصمة الإصبع في Windows Hello على أجهزة الكمبيوتر المحمولة من Dell وLenovo وMicrosoft. ويتعين على الشركات المصنعة معالجة هذه المشكلة باتباع ممارسات أمنية صارمة ومتسقة، وفقًا لشركة Blackwing Intelligence.
طلبت Microsoft من Blackwing Intelligence التحقيق في نظام بصمة الإصبع الخاص بـ Windows Hello قبل أكتوبر 2023 مؤتمر بلوهاتكان لدى شركة Blackwing Intelligence ثلاثة أشهر فقط لإجراء أبحاثها، لذا ركزت على ثلاثة أجهزة كمبيوتر محمولة – Dell Inspiron 15 وLenovo ThinkPad T14 وMicrosoft Surface Pro X. تم اختيار هذه الأجهزة المحمولة لأنها تحتوي على أكثر ثلاثة مستشعرات بصمات الأصابع المضمنة شيوعًا (من Goodix وSynaptics وELAN على التوالي).
تم اكتشاف ثغرات فريدة في نظام بصمة الإصبع Windows Hello لكل كمبيوتر محمول. استخدم فريق Blackwing Intelligence جهاز USB مخصصًا لاستغلال هذه الثغرات وتجاوز تسجيل الدخول ببصمة الإصبع. من الناحية الفنية، يجب أن يحمي بروتوكول Secure Device Connection Protocol (SDCP) من Microsoft أجهزة الكمبيوتر المحمولة من مثل هذا الهجوم. لكن SDHP لا يستخدمه قارئ بصمات الأصابع في Thinkpad T13 أو Surface Pro X، وتمكنت Blackwing Intelligence من الالتفاف على نظام SDCP الخاص بجهاز Inspiron 15 عن طريق إعادة توجيه قاعدة بيانات بصمات الأصابع في الكمبيوتر المحمول إلى Linux.
ومن الغريب أن Surface Pro X كان الضحية الأسهل. هذا الكمبيوتر المحمول 2 في 1 يجب لقد شكلت هذه الأجهزة تحديًا فريدًا من نوعه. ففي النهاية، تم تصنيعها بواسطة شركة Microsoft وتعمل بنظام تشغيل Windows على ARM. ولكن كما توضح شركة Blackwing Intelligence، أي يمكن لجهاز USB أن يدعي أنه مستشعر بصمة الإصبع في Surface Pro X (عن طريق تزوير VID/PID الخاص به). العقبة الحقيقية الوحيدة التي يفرضها Surface Pro X هي فحص “عدد بصمات الأصابع”، والذي يسأل لوحة المفاتيح القابلة للإزالة عن عدد بصمات الأصابع المسجلة (من المفترض أن هذا لمنع مستخدمي Surface Pro X من خلط لوحات المفاتيح الخاصة بهم).
الخبر السار هو أن هجمات الرجل الوسيط تتطلب الوصول الفعلي إلى الكمبيوتر المحمول للضحية. وإذا كنت مهمًا بما يكفي لتكون هدفًا لمثل هذا الهجوم، فيمكنك حماية نفسك من خلال تعطيل تسجيل الدخول ببصمة الإصبع على الكمبيوتر المحمول. لكن هذا البحث يسلط الضوء على حقيقة غير مريحة – مصنعو أجهزة الكمبيوتر المحمولة التي تعمل بنظام Windows، بما في ذلك Microsoft، لا يتبعون ممارسات أمنية ثابتة.
تطلب شركة Blackwing Intelligence من جميع مصنعي أجهزة الكمبيوتر المحمولة وأجهزة استشعار بصمات الأصابع تنفيذ SDCP وتوظيف مدققي أمان تابعين لجهات خارجية في المستقبل. لمزيد من المعلومات، يرجى قراءة “لمسة من البوون“تدوينة على المدونة أو مشاهدة إعلان الشركة” عرض تقديمي لـ BlueHat.
مصدر: ذكاء بلاكوينج عبر الحافة