Τεράστιο κενό στην ασφάλεια των Windows – Ευάλωτα εκατομμύρια laptops
Όπως μόλις έγινε γνωστό, ένα πολύ σοβαρό κενό ασφαλείας υπάρχει στους αισθητήρες δακτυλικών αποτυπωμάτων εκατομμύρια laptops, με αποτέλεσμα η ασφάλεια του Windows Hello να παραβιάζεται.
Περνώντας σε λεπτομέρειες, ερευνητές της Blackwing Intelligence ανακάλυψαν πολλαπλές ευπάθειες στους τρεις κορυφαίους αισθητήρες δακτυλικών αποτυπωμάτων που είναι ενσωματωμένοι σε αμέτρητους φορητούς υπολογιστές, καταφέρνοντας να παραβιάσουν laptops της Dell, της Lenovo, μέχρι και της ίδιας της Microsoft. Οι blue hat hackers εστίασαν τις προσπάθειές τους σε δημοφιλείς αισθητήρες από την Goodix, την Synaptics, και την ELAN, κατασκευάζοντας μια USB συσκευή που μπορούσε να ολοκληρώσει επιτυχώς man-in-the-middle (MitM) επιθέσεις. Χάρη στην ευπάθεια των αισθητήρων, τα laptops μπορούσαν να ξεκλειδωθούν πολύ εύκολα, κάτι που σημαίνει ότι αν ένα laptop κλαπεί ή ακόμη και αν μείνει χωρίς επίβλεψη σε κάποιο δημόσιο χώρο, δεν είναι απίθανο hackers να το παραβιάσουν.
Ένα Dell Inspiron 15, ένα Lenovo ThinkPad T14 και ένα Microsoft Surface Pro X έπεσαν όλα θύματα, επιτρέποντας στους ερευνητές να παρακάμψουν την προστασία του Windows Hello, εφόσον κάποιος χρησιμοποιούσε προηγουμένως έλεγχο ταυτότητας μέσω δακτυλικών αποτυπωμάτων στη συσκευή.
Στην εμπεριστατωμένη τους δημοισεύση σχετικά με τα ελαττώματα, οι ερευνητές της Blackwing Intelligence Jesse D'Aguanno και Timo Teräs εξήγησαν:
Η Microsoft έκανε καλή δουλειά στο σχεδιασμό του Secure Device Connection Protocol (SDCP) για την παροχή ενός ασφαλούς καναλιού μεταξύ του κεντρικού υπολογιστή και των βιομετρικών συσκευών, αλλά, δυστυχώς, οι κατασκευαστές φαίνεται πως παρεξηγούν ορισμένους από τους στόχους.
Επιπλέον, το SDCP καλύπτει μόνο ένα πολύ στενό πεδίο λειτουργίας μιας τυπικής συσκευής, ενώ οι περισσότερες συσκευές έχουν εκτεθειμένη μια σημαντική επιφάνεια επίθεσης που δεν καλύπτεται καθόλου από το SDCP.
Ακόμη, δεν είναι σαφές αν η Microsoft θα μπορέσει να διορθώσει μόνη της αυτά τα κενά. Αν είναι θέμα hardware πάντως, το θέμα μπορεί να μην είναι καν εφικτό να λυθεί με software ενημερώσεις.
Όπως και να ‘χει, η Blackwing Intelligence συνιστά πλέον στους ΟΕΜ κατασκευαστές να βεβαιωθούν ότι το SDCP είναι ενεργοποιημένο στα προϊόντα τους και να διασφαλίσουν ότι η κατασκευή του αισθητήρα δακτυλικών αποτυπωμάτων ελέγχεται από εξειδικευμένους εμπειρογνώμονες.
Ακολουθήστε το Unboxholics.com στο Google News για να μαθαίνετε πρώτοι τα τελευταία νέα για τεχνολογία, videogames, ταινίες και σειρές. Ακολουθήστε το Unboxholics.com σε Facebook, Twitter, Instagram, Spotify και TikTok.
