Araştırmacılar Lenovo, Dell ve Surface Pro PC'lerde 'Windows Hello'yu Baltalıyor - Dünyadan Güncel Teknoloji Haberleri

Araştırmacılar Lenovo, Dell ve Surface Pro PC'lerde 'Windows Hello'yu Baltalıyor - Dünyadan Güncel Teknoloji Haberleri
“Daha uzun ve daha güvenli bir şifre seçmenize olanak tanıyabilir ve bu şifre, verilerinizin güvenliğini sağlamak için daha güvenli şifreleme anahtarları oluşturmak gibi diğer güvenlik mekanizmaları için de kullanılabilir

Bu tür istismarların her biri, kullanıcının parmak izi kimlik doğrulamasının zaten etkinleştirilmiş olmasını ve saldırganın cihaza fiziksel erişiminin olmasını gerektiriyordu Aslında biyometrinin uygun şekilde kullanılmasının güvenliği birçok yönden artırabileceğini düşünüyorum” diyor



Araştırmacılar, günümüzün bilgisayarlarında kullanılan en yaygın parmak izi okuyucularından üçünün nasıl tehlikeye atılacağını buldular

Ne olursa olsun araştırması biyometriye olan inancını bozmadı Benzer türdeki güvenlik açıklarının keşfedilmemiş ve dünya çapında daha fazla çipte ve bunlara bağlı olan daha fazla bilgisayarda ele alınmadan kalması mümkündür

Blackwing Intelligence CEO’su ve araştırma direktörü Jesse D’Aguanno, bu yazının yazıldığı an itibariyle ne kendisi ne de Dark Reading bunu doğrulayamasa da, bu yayına üreticilerin (Goodix, Synaptics ve Elan) o zamandan beri çiplerine yama yaptıklarını söyledi

MoC, bir bilgisayar korsanının parmak izi verilerinin saklanan bir kopyasını kullanarak erişim elde etmesini engellese de, kötü niyetli bir sensörün meşru sensör için devreye girip başarılı bir kimlik doğrulama girişimi talep etmesini veya daha önce başarılı olan bir girişimi yeniden yürütmesini tek başına engellemez Ancak söz konusu üç okuyucudan ikisinde SDCP varsayılan olarak etkin değildi ve üçüncüsü kusurlu uygulamadan muzdaripti

Microsoft’un desteğiyle Blackwing Intelligence analistleri şunları yapmaya çalıştı: biyometrik güvenliği yıkmak üç örnek dizüstü bilgisayar tarafından sunulmaktadır: Dell Inspiron 15, Lenovo ThinkPad T14 ve Microsoft Surface Pro 8/X MoC, yerleşik mikroişlemcilere ve depolamaya sahip oldukları anlamına gelir; bu da hassas biyometrik verilerin ana bilgisayarda işlenmesi ve saklanması ihtiyacını ortadan kaldırır Bu şekilde, ana bilgisayar tehlikeye girse bile gizlilik korunur

Örneğin Elan sensörlerinde SDCP açık olmadığından ve güvenlik kimliklerini açık metin olarak ilettiklerinden, araştırmacılar bir USB’yi yedek olarak kullanabildiler ve ana makineyi yetkili oturum açma konusunda ikna edebildiler

Synaptics ayrıca SDCP korumasından da kaçındı ve hem Windows hem de Linux yüklü Goodix korumalı bilgisayarlar için araştırmacılar, Linux’un SDCP’yi desteklemediği gerçeğinden daha dolambaçlı bir şekilde yararlanabildiler Dolayısıyla biyometri kullanımı size şunu sağlar: kolaylık seviyesi”



siber-1

“Biyometrinin doğası gereği gerçekten kötü olduğunu düşünen çok sayıda güvenlik uzmanı var

Parmak İzi Sensörleri Nasıl Değiştirilir

Windows Hello, varsayılan olarak parmak izi okuyucularının “ana makinede eşleştirme” (MoH) yerine “çipte eşleştirme” (MoC) olmasını gerektirir

Her ne kadar sensörler parmak izlerini mükemmel bir şekilde okusa da, analistler bu sensörler ile ana cihazlar arasındaki iletişim hattından faydalanmayı başardılar

D’Aguanno, “İster diğer üreticiler olsun, ister Linux gibi diğer ortamlar olsun, ister Apple ekosistemi olsun, elbette orada da bir potansiyel var” diyor

Potansiyel Olarak Daha Büyük Bir Resim

D’Aguanno’nun çalışması, üç model parmak izi okuyucunun hizmet verdiği üç dizüstü bilgisayarla sınırlıydı Çalışma sırasında, Microsoft’un oturum açma hizmeti olan “Windows Hello” için bu cihazlar tarafından kullanılan üç marka baskı sensörünün her birinden yararlanmanın yollarını keşfettiler

Microsoft, sensör ile ana bilgisayar arasındaki uçtan uca iletişimi güvence altına almak için Güvenli Cihaz Bağlantı Protokolünü (SDCP) geliştirdi