VNR Content
Pearl
Một nhóm các chuyên gia bảo mật có tên Blackwing Intelligence mới đây đã công bố họ bẻ khóa thành công Windows Hello, công nghệ xác thực sinh trắc học có trên nhiều laptop Windows cao cấp hiện nay.
Kết quả nghiên cứu đã được Blackwing Intelligence tiết lộ vào tháng 10 vừa qua, tại hội nghị bảo mật BlueHat của Microsoft, nhưng phải đến tuần này thì nhóm mới đăng trên website của mình. Với tiêu đề "A Touch of Pwn", Blackwing Intelligence cho biết họ đã có thể vượt mặt bảo mật cảm biến vân tay trên các laptop Dell Inspiron 15, Lenovo ThinkPad T14 và Microsoft Surface Pro Type Cover - chiếc ốp kiêm bàn phím có Fingerprint ID cho máy tính bảng Surface Pro 8 và X. Đáng nói là, những thiết bị này sử dụng cảm biến vân tay của Goodix, Synaptics và ELAN, đây là những cảm biến phổ biến nhất trên thị trường laptop. Ngoài ra, những cảm biến này còn là loại "match on chip", tức là việc xác thực được thực hiện ngay trên cảm biến, với vi xử lý riêng biệt. Blackwing đã sử dụng "Reverse Engineering" (kỹ thuật đảo ngược) để tìm ra những lỗ hổng trong cảm biến vân tay, sau đó tạo ra thiết bị USB riêng có thể thực hiện tấn công Man-in-the-middle (MitM). Thiết bị này đã giúp Blackwing có thể qua mặt bước xác thực vân tay trên những laptop trên. Bài đăng trên blog cũng chỉ ra rằng Microsoft sử dụng Giao thức Kết nối Thiết bị Bảo mật (SDCP) "để cung cấp một kênh an toàn giữa máy chủ và các thiết bị sinh học", hai trong số ba cảm biến vân tay được kiểm tra thậm chí còn không bật SDCP. Blackwing đề xuất rằng tất cả các công ty cảm biến vân tay không chỉ bật SDCP trên sản phẩm của họ, mà còn nên nhờ một công ty bên thứ ba kiểm tra xem nó có hoạt động không. Cũng cần lưu ý rằng Blackwing đã mất tới khoảng 3 tháng với nhiều nỗ lực để làm ra thiết bị bẻ khóa này. Nhưng quan trọng là họ đã thành công, và dường như không laptop nào là an toàn. Không rõ liệu Microsoft hay các nhà sản xuất cảm biến vân tay có thể khắc phục những vấn đề này hay không.
