Microsoft - Raziskovalci iz podjetja Blackwing Intelligence so ugotovili, kako je možno pretentati zaklep računalnik s prstnim odtisom v Windows Hello. Na prošnjo MORSE (Microsoft Offensive Research and Security Engineering) so analizirali varnost treh različnih tipov čitalnikov prstnih odtisov v prenosnih računalnikih in odkrili resne ranljivosti.
Ranljivi so čitalniki podjetij Goodix, Synaptics in ELAN, ki so jih preizkusili na napravah Dell Inspiron 15, Lenovo ThinkPad T14 in Microsoft Surface Pro X. Izdelali so posebno napravo, ki se na računalnik priključi prek USB-ja in omogoča izvedbo napada s prestrezanjem (MITM). Tako je možno odkleniti ukradene prenosnike, če je le kdo kdaj v preteklosti uporabil prstni odtis za prijavo.
Že pred časom je Microsoft ugotovil, da 85 odstotkov ljudi, ki to možnost imajo, za prijavo uporablja prstni odtis. Prvo resno ranljivost v Windows Hallo je Microsoft odpravil leta 2021, ko so ljudje ugotovili, da je možno pretentati prepoznavanje obrazov za prijavo. Videli bomo, ali jim bo tudi tokrat uspelo ranljivosti odpraviti s popravkom.
Malo nejasno (spet) napisano: - priklop USB naprave je dovolj za zbiranje potrebnih podatkov, ali tudi za izvedbo lažne prijave? Ker v članku piše, da je potrebno pravi senzor "izklopiti", kar verjetno ne gre kar tako. - je dovolj, da se je uporabnik prijavil s prstnim odtisom kdaj v preteklosti, ali takrat, ko je USB naprava za napad bila priključena? (po bežnem preleti linkanih strani sklepam, da prvo, čeprav nisem 100%)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Hm, mogoče lažje dobit prstni odtis, ga natisnit na papir in ga uporabit za odklep, kot so pokazali Mythbusters. Žal ne najdem posnetka. No ja, upam, da ni več tako enostavno.
