Se elude la autenticación de huellas dactilares de Windows – Spiceworks

  • Los investigadores de seguridad han logrado eludir el sistema de autenticación de huellas dactilares Windows Hello de Microsoft en portátiles de marcas líderes.
  • Las vulnerabilidades en los sistemas integrados de huellas dactilares se explotaron en un proceso que implicó el descifrado y la reimplementación de protocolos propietarios.

La investigación sobre la eficacia de la seguridad mediante huellas dactilares en los sistemas Windows encontró que los principales modelos de portátiles tenían múltiples vulnerabilidades que permitían a los atacantes eludir estos sistemas de autenticación. Se realizaron pruebas de autenticación de Windows Hello en computadoras portátiles Dell, Lenovo y Microsoft, y se encontró que todas eran vulnerables.

El estudio fue realizado por Blackwing Intelligence, una empresa de investigación especializada en seguridad de hardware y software. Descubrieron que los actores maliciosos pueden eludir los sensores de huellas dactilares integrados producidos por ELAN, Goodix y Synaptics. Todos estos sensores eran del tipo «match-on-chip» (MoC).

Se ha demostrado que estos sensores no pueden impedir las comunicaciones falsificadas, ya que los actores malintencionados pueden afirmar falsamente que la autenticación fue exitosa. Sin embargo, para que esta vulnerabilidad funcione, los usuarios de portátiles ya deben haber configurado la autenticación de huellas dactilares en sus sistemas.

Ver más: La reestructuración de Meta llevó a la disolución del equipo responsable de IA

Se ha descubierto que los sensores ELAN, en particular, son vulnerables a las transmisiones de texto claro de identificadores de seguridad y a la suplantación de sensores, lo que permite que los dispositivos USB obtengan acceso fraudulento. Microsoft creó el Protocolo de comunicación de dispositivo seguro (SDCP) para crear un canal seguro de un extremo a otro.

Sin embargo, los sensores Synaptics desactivan SDCP de forma predeterminada. Asimismo, los sensores Goodix son vulnerables en dispositivos Windows y Linux, ya que Linux no es compatible con SDCP.

Se ha instado a los OEM a habilitar el SDCP y garantizar que la implementación de sensores de huellas dactilares sea auditada por expertos independientes. La autenticación biométrica basada en Windows se eludió a principios de 2021 cuando se utilizó la vulnerabilidad CVE-2021-34466 para falsificar los rostros de los usuarios para evitar las pantallas de inicio de sesión.

¿Qué opinas sobre la importancia de las medidas de seguridad biométricas? Déjanos saber tu opinión sobre LinkedInAbre una nueva ventana