Los principales sensores que permiten la autenticación de huellas dactilares de Windows Hello no son tan seguros como esperaban los fabricantes. Los investigadores han descubierto fallas de seguridad en una serie de sensores de huellas dactilares utilizados en varias computadoras portátiles que funcionan con la función de autenticación de Windows Hello.
Los investigadores de seguridad de Blackwing Intelligence han descubierto que las computadoras portátiles fabricadas por Dell, Lenovo y Microsoft pueden tener su autenticación de huellas dactilares de Windows Hello fácilmente omitida debido a vulnerabilidades en los sensores que pueden hacer que los malos actores se apoderen de ellos a nivel del sistema.
Muchas de las marcas de portátiles utilizan sensores de huellas dactilares de Goodix, Synaptics y ELAN. Estas vulnerabilidades están empezando a surgir a medida que las empresas hacen la transición a la biometría como opción principal para acceder a los dispositivos. A medida que pase el tiempo, el uso de contraseñas seguirá disminuyendo. Hace tres años, Microsoft afirmó que el 85% de sus usuarios optaban por un inicio de sesión de Windows Hello en dispositivos con Windows 10 en lugar de una contraseña, según The Verge.
A petición de la Ingeniería de Seguridad e Investigación Ofensiva (MORSE) de Microsoft, los investigadores compartieron detalles de varios ataques que han plagado las computadoras portátiles habilitadas para la autenticación de huellas dactilares en la conferencia BlueHat de la marca en octubre.
Uno de estos ataques es un ataque de intermediario (MitM), que se puede utilizar para acceder a un portátil robado. Otro método es un ataque de «sirvienta malvada», que se puede usar en un dispositivo desatendido.
Los investigadores de Blackwing Intelligence probaron un Dell Inspiron 15, un Lenovo ThinkPad T14 y un Microsoft Surface Pro X, que fueron víctimas de varios métodos de derivación siempre que alguien hubiera utilizado previamente su huella dactilar para acceder a los dispositivos. Los investigadores señalaron que la omisión implicó ingeniería inversa del hardware y el software de las computadoras portátiles. Encontraron fallas en la capa de seguridad del sensor Synaptics, en particular. Windows Hello necesitaba ser decodificado y reestructurado para superar su configuración, pero aún así pudo ser pirateado.
Los investigadores señalaron que el Protocolo de Conexión de Dispositivos Seguros (SDCP) de Microsoft es un intento sólido de aplicar una medida de seguridad dentro del estándar biométrico. Permite una comunicación más segura entre el sensor biométrico y su computadora portátil. Sin embargo, no todos los fabricantes implementaron la función lo suficientemente bien como para que fuera efectiva, si es que la habilitaron. Dos de las tres computadoras portátiles examinadas en el estudio tenían SDCP habilitado.
Tener computadoras portátiles biométricas más seguras no solo será una tarea para Microsoft. Un remedio inicial para asegurar las computadoras portátiles habilitadas para Windows Hello también es tener SDCP habilitado por parte del fabricante, señaló Blackwing Intelligence.
Este estudio sigue a una falla biométrica de reconocimiento facial de 2021 en Windows Hello que permitió a los usuarios omitir la función con ciertas alteraciones. Microsoft se vio obligado a actualizar su función después de que los investigadores presentaran una prueba de concepto que mostraba a los usuarios con máscaras o cirugía plástica sin pasar por la autenticación de reconocimiento facial de Windows Hello.
