在上个月微软的BlueHat大会上，Blackwing Intelligence的安全研究人员Jesse D'Aguanno和Timo Teräs发表演讲详细演示了如何绕过Windows Hello的指纹认证，并以他人身份登录。

这项研究由微软的攻击性研究和安全工程团队（MORSE）委托及赞助，并于本周向公众公开。研究重点是绕过三款笔记本电脑上的Windows Hello指纹认证：戴尔Inspiron 15，联想ThinkPad T14和微软Surface Pro 8/X，它们分别使用了Goodix、Synaptics和ELAN的嵌入式指纹传感器。

上述指纹传感器都属于“芯片上匹配（MoC）”（也称“传感器内匹配”）类型的传感器。与主机上匹配相反，MoC传感器在芯片中具有微处理器和存储器，从而可以在芯片内安全地进行指纹匹配。由于指纹模板永远不会离开芯片，这消除了生物识别数据从主机中外泄的隐私问题。

不过，虽然MoC防止了将存储的指纹数据发送到主机进行匹配，但它本身并不能防止恶意传感器欺骗合法传感器与主机的通信，并假称授权用户已成功进行了认证。并且，它也不能防止重放先前观察到的主机和传感器之间的通信。

为了对抗利用上述缺陷的攻击，微软开发了安全设备连接协议（SDCP），用以确保指纹设备被信任、运行状况良好，并且指纹设备与主机之间的输入受到保护。

然而，安全研究员Jesse D'Aguanno和Timo Teräs利用自定义的Linux树莓派4设备，在这三台笔记本电脑上通过中间人攻击（MITM），成功绕过了Windows Hello认证。

据了解，他们在戴尔和联想笔记本电脑上，通过枚举有效的ID并使用合法Windows用户的ID注册攻击者的指纹，实现了认证绕过（Synaptics传感器使用了自定义TLS堆栈而不是SDCP来保护USB通信）。

对于Surface设备，其ELAN指纹传感器没有SDCP保护，使用明文USB通信，并且缺乏认证，研究员在断开包含传感器的Type Cover后伪造了指纹传感器，并从伪造的设备发送了有效的登录响应。

最终结果是，上述笔记本的Windows Hello指纹认证全数被黑客攻破。研究人员表示，这并不是Windows Hello或使用指纹的问题，更多的是由于软件和硬件之间的通信存在缺陷或疏忽。安全研究员建议设备制造商检查该项报告，确保他们的产品没有类似设计缺陷。

报告原文：https://blackwinghq.com/blog/posts/a-touch-of-pwn-part-i/

编辑：左右里

资讯来源：Blackwing Intelligence、thehackernews

转载请注明出处和本文链接