La società di cybersicurezza Blackwing Intelligence ha annunciato la scoperta di molteplici vulnerabilità relative all’implementazione dello scanner di impronte digitali nei laptop Windows, e la conseguente compromissione di Windows Hello come metodo di autenticazione.
La ricerca è stata commissionata da Microsoft stessa, e pare che la responsabilità delle falle ricada più nei produttori degli scanner di impronte (i ricercatori si sono concentrati su quelli di tre dei produttori più diffusi, ovvero Elan, Goodix e Synaptics). “Microsoft ha fatto un buon lavoro nella progettazione del protocollo SDCP (Secure Device Connection Protocol) per fornire un canale di comunicazione sicura tra i dispositivi biometrici e l’host, ma sfortunatamente alcuni produttori dei dispositivi sembrano fraintendere alcuni degli obiettivi”, hanno detto i ricercatori presentando la loro dettagliata relazione sull’indagine (la trovate seguendo il link FONTE in fondo all’articolo).
Nel corso della conferenza di cybersicurezza Microsoft Blue Hat, che si è tenuta durante il mese di ottobre (il video è tuttavia stato pubblicato solo qualche ora fa), i ricercatori hanno dimostrato le vulnerabilità della tecnologia “bucando” tre laptop diversi – un Dell Inspiron 15, un Lenovo ThinkPad T14 e un Surface Pro X di Microsoft stessa. In soldoni, l’attacco viene condotto realizzando un dispositivo USB apposito. Unico prerequisito, oltre naturalmente alla presenza fisica della macchina bersaglio, è che qualcuno in precedenza abbia configurato e usato l’autenticazione tramite scanner di impronte digitali.
[embedded content]
Non è al momento chiaro se Microsoft sarà in grado di correggere via patch software le vulnerabilità. Non è la prima volta che Windows Hello si trova esposto ad attacchi: qualche tempo fa si era scoperto che si poteva aggirare l’autenticazione col volto scattando una foto di una vittima con una fotocamera a infrarossi. Questa è tuttavia una situazione chiaramente molto diversa.
La posta in gioco è comunque alta: per ammissione di Microsoft, Windows Hello è molto diffuso – si parla addirittura dell’85% di tutti gli utenti del sistema operativo. È tuttavia vero che Windows Hello non significa solo autenticazione biometrica – rientra nella definizione anche l’impostazione di un semplice PIN. Come è facile immaginare, la criticità riguarda soprattutto gli ambienti business, in cui è più facile immaginare un attacco Man-in-the-Middle per rubare dati sensibili e segreti industriali.
