Los investigadores de seguridad de Blackwing Intelligence han descubierto múltiples vulnerabilidades en los tres principales sensores de huellas dactilares integrados en las computadoras portátiles, que las empresas utilizan ampliamente para la autenticación de huellas dactilares de Windows Hello para garantizar la seguridad de las computadoras portátiles. La verificación de huellas dactilares de Windows Hello de Microsoft se ha omitido en las computadoras portátiles de Dell, Lenovo e incluso Microsoft.
La Ingeniería de Seguridad e Investigación Ofensiva (MORSE) de Microsoft pidió a Blackwing Intelligence que evaluara la seguridad de los sensores de huellas dactilares, y los investigadores proporcionaron sus hallazgos durante una presentación en la conferencia Blue Hat de Microsoft en octubre. El equipo de investigación se centró en sensores de huellas dactilares populares de empresas como Goodix, Synaptics y ELAN, y en una publicación de blog reciente detalló el proceso en profundidad de construcción de un dispositivo USB que puede realizar ataques de intermediario (MitM). Este ataque puede obtener acceso a portátiles robados o incluso lanzar ataques de "criada malvada" contra dispositivos desatendidos.
Los investigadores de Dell Inspiron 15, Lenovo ThinkPad T14 y Microsoft Surface Pro de Blackwing Intelligence realizaron ingeniería inversa del software y el hardware y descubrieron una falla en la implementación de cifrado de TLS personalizado en los sensores Synaptics. El complejo proceso de eludir Windows Hello también implica decodificar y volver a implementar protocolos propietarios.
Gracias al impulso de Microsoft para Windows Hello y un futuro sin contraseñas, los usuarios de portátiles con Windows ahora utilizan ampliamente los sensores de huellas dactilares. Microsoft reveló hace tres años que casi el 85% de los consumidores utilizan Windows Hello para iniciar sesión en dispositivos con Windows 10, en lugar de utilizar una contraseña (sin embargo, Microsoft considera un PIN simple como un uso de Windows Hello).
Esta no es la primera vez que la autenticación biométrica de Windows Hello se ve comprometida. En 2021, Microsoft se vio obligado a corregir una vulnerabilidad de omisión de autenticación de Windows Hello que implicaba capturar una imagen infrarroja de la víctima para engañar a la función de reconocimiento facial de Windows Hello.
Sin embargo, no está claro si Microsoft puede solucionar estas últimas vulnerabilidades por sí solo. En un informe detallado sobre las vulnerabilidades, los investigadores de Blackwing Intelligence, Jesse D'Aguanno y Timo Teräs, escribieron: "Microsoft hizo un buen trabajo diseñando el Protocolo de conexión segura de dispositivos (SDCP) para proporcionar un canal seguro entre el host y el dispositivo biométrico, pero desafortunadamente, los fabricantes de dispositivos parecen haber malinterpretado algunos de estos objetivos. Además, SDCP sólo cubre un rango operativo muy estrecho de dispositivos típicos, y la mayoría de los dispositivos exponen una superficie de ataque considerable y no están cubiertos por SDCP en absoluto".
Los investigadores descubrieron que dos de los tres dispositivos a los que apuntaban no tenían habilitada la protección SDCP de Microsoft. Blackwing Intelligence ahora recomienda que los OEM se aseguren de que SDCP esté habilitado y que expertos calificados revisen las implementaciones del sensor de huellas dactilares. Blackwing Intelligence también está explorando ataques de corrupción de memoria en el firmware del sensor e incluso la seguridad del sensor de huellas dactilares en dispositivos Linux, Android y Apple.