חוקרי אבטחה עקפו את מנגנון טביעת האצבע Windows Hello של מיקרוסופט

Dell XPS 9700 - תקריב טביעת אצבע/הדלקה (צילום: יאן לנגרמן, גאדג'טי) Dell XPS 9700 – תקריב טביעת אצבע/הדלקה (צילום: יאן לנגרמן, גאדג’טי)

חוקרי האבטחה של חברת Blackwing Intelligence הצליחו להדגים כי שימוש בטביעת אצבע לאבטחת המחשב הנייד לא תמיד יוכל לעזור למשתמשים על ידי עקיפת מנגנון זיהוי טביעת האצבע Windows Hello, מנגנון הכניסה המאובטחת של מיקרוסופט במחשבי ווינדוס.

עבודת המחקר של החברה נעשתה לבקשת מחלקת “המחקר ההתקפי והנדסת אבטחה” של מיקרוסופט MORSE (ר”ת Microsoft Offensive Research and Security Engineering), במטרה לבחון את מנגנון האבטחה וההזדהות Windows Hello של מיקרוסופט.

הבדיקה נעשתה על 3 מחשבים ניידים פופולריים:

  • נייד ה-Dell Inspiron 15 המשתמש בחיישן של Goodix.
  • נייד ה-Lenovo ThinkPad T14 המשתמש בחיישן של Synaptics.
  • נייד ה-Microsoft Surface Pro X המשתמש בחיישן של ELAN.

שלושת חיישני טביעת האצבע שנבדקו הם מסוג “אימות על שבב” MoC (ר”ת match on chip), המכילים אחסון מובנה ומיקרו מעבד על מנת לאמת את טביעת האצבע על גבי השבב עצמו, פתרון שנחשב מאובטח יותר, אך לא חסין להתקפה.

זיהוי טביעת אצבע ב-Windows Hello (מקור Blackwing Intelligence)
זיהוי טביעת אצבע ב-Windows Hello (מקור Blackwing Intelligence)

החוקרים הצליחו לעקוף את מנגנון זיהוי טביעות האצבע בשלושת המחשבים באמצעות שימוש בשני סוגי תקיפה שונים:

  • יצירת התקן USB שנועד לבצע תקיפת “אדם בתווך” MitM (ר”ת Man in the middle), דבר אותו נועד פרוטוקול ה-SDCP (ר”ת Secure Device Connection Protocol) של מיקרוסופט למנוע, על אף שהוא לא נותן מענה מלא לפי החוקרים ופשוט לא הופעל בשניים משלושת הניידים.
  • שימוש בחיישן טביעת אצבע חיצוני שהתחזה לחיישן המקורי ואפשר לעקוף את מנגנון האבטחה כל עוד משתמש מאושר עשה שימוש בחיישן טביעת האצבע המקורי לפני כן.
רישום טביעת האצבע של התוקף דרך לינוקס על מנת לאמת אותה בווינדוס (מקור Blackwing Intelligence)
רישום טביעת האצבע של התוקף דרך לינוקס על מנת לאמת אותה בווינדוס (מקור Blackwing Intelligence)

ניתן לקרוא את מצגת המחקר המלאה באתר חברת האבטחה (PDF) ולראות את ההרצאה על הצגת הממצאים בכנס האבטחה BlueHat:

הצטרפו לערוץ הטלגרם של גאדג’טי לעדכונים שוטפים בנושאים טכנולוגים ולערוץ גאדג’טי דיל למבצעים. תוכלו גם להירשם לעדכונים מאיתנו דרך ערוץ האינסטגרם הרשמי, עמוד החדשות של גוגל או בעמוד הפייסבוק.


חלק מהפוסטים באתר כוללים קישורי תכניות שותפים, עבורם נקבל עמלה עם ביצוע רכישה בפועל של מוצרים. עמלה זו לא מייקרת את העלות הסופית של המוצרים עבורכם.

הסקירות והתכנים המופיעים באתר מהווים המלצה בלבד, וכך יש להתייחס אליהם. כל המחירים המופיעים באתר נכונים ליום הפרסום בלבד והאחריות לקניית מוצר או שירות כזה או אחר מוטלת עליך בלבד – השימוש באתר בהתאם לתנאי השימוש והפרטיות.

השוואת מפרטים