Contents

Windows Hello 指紋掃描器遭到駭客攻擊:您還應該使用它們嗎?

使用指紋掃描器登入 Windows 筆記型電腦非常簡單;只需將手指放在掃描器上,作業系統就會讓您進入。然而,研究人員表明,雖然這種方法很方便,但它並不防駭客。

事實上,個人可以透過多種方法繞過 Windows Hello 指紋掃描儀,這引發了人們對其作為安全措施的有效性的質疑。

人們可以破解 Windows Hello 指紋掃描器嗎?

/bc/images/passwords-are-a-thing-of-the-past-passwordless-logins-benefits.jpg

為了逃避 Windows 作業系統用於使用者登入的生物辨識身分驗證機制,包括個人識別碼 (PIN)、臉部辨識和指紋驗證,試圖破壞基於 Windows 的裝置的安全措施的個人正在嘗試規避Windows Hello 服務提供的保護。

作為 Windows Hello 強度研究的一部分,兩名白帽駭客 Jesse D’Aguanno 和 Timo Teräs 在他們的網站上發布了一份報告,Blackwing HQ 。該報告詳細介紹了他們如何入侵三種流行設備:Dell Inspiron 15、聯想 ThinkPad T14 和 Microsoft Surface Pro Type Cover。

駭客如何攻破 Dell Inspiron 靈越 15 上的 Windows Hello

在檢查 Dell Inspiron 15 後,駭客社群發現可以在該裝置上啟動 Linux 作業系統。成功登入這個替代平台後,使用者能夠在系統中註冊他們唯一的生物識別標識符,隨後為他們分配與他們想要訪問的指定 Windows 帳戶相同的識別號碼。

隨後,個人對連接個人電腦和感測器的通訊鏈路執行中間人攻擊。該設定的安排方式是,當 Microsoft 努力確認掃描的指紋是否真實時,它最終會查閱 Linux 指紋資料庫而不是自己的指紋資料庫。

為了逃避 Windows Hello 的安全措施,網路犯罪分子採用了一種盜用基於 Linux 的系統中儲存的指紋資料的方法。透過上傳相同的識別碼並將其分配給 Windows 上的使用者帳戶,攻擊者試圖透過使用生物識別身份驗證來獲得未經授權的存取。為此,他們在登入過程中操縱了網路流量,將封包定向到 Linux 資料庫而不是合法的 Windows 來源。這使得錯誤斷言與特定識別號碼相關的個人準備登錄,最終繞過安全措施。

駭客如何攻破 Lenovo ThinkPad T14 上的 Windows Hello

在檢查聯想 ThinkPad 後,網路犯罪分子發現該設備採用了專有的加密技術進行生物辨識認證。經過不懈的努力,攻擊者能夠解密該系統,從而存取負責驗證指紋辨識的機制。

成功完成流程後,網路犯罪分子就能夠操縱指紋資料庫,使其能夠識別其生物辨識資料的真實性。從那裡,他們只需要重新掃描指紋即可進入聯想 ThinkPad 設備。

駭客如何攻破 Microsoft Surface Pro Type Cover 上的 Windows Hello

駭客最初的預期是 Surface Pro 將是所有設備中最艱鉅的挑戰;然而,他們驚訝地發現 Surface Pro 上缺乏強大的安全協議來驗證合法指紋。事實上,事實證明,透過繞過單一防線並欺騙性地向 Surface Pro 表明指紋掃描已成功執行,就可以輕易地授予對該裝置的存取權限。

這些駭客對您意味著什麼?

/bc/images/professional-thinking-with-laptop.jpg

雖然利用指紋辨識技術存取筆記型電腦的潛在風險可能看起來令人畏懼,但在完全放棄這種身分驗證方法之前,請務必記住幾個關鍵因素。

攻擊是由熟練的駭客執行的

勒索軟體即服務 (RaaS) 構成了重大威脅,因為網路安全知識有限的個人也可以使用它。然而,更高級的攻擊,例如涉及透過生物識別繞過設備身份驗證的攻擊,需要更高程度的技術熟練程度。

攻擊需要攻擊者與裝置進行實體交互

為了執行上述網路攻擊,必須與目標設備進行直接物理互動。根據調查結果,雖然開發能夠在連接時發動攻擊的USB設備可能是可行的,但這種方法將需要惡意行為者將外部設備插入電腦系統,從而構成重大安全風險。

攻擊僅適用於特定設備

應該承認,成功執行攻擊需要不同的方法來實現相同的目標。每個小工具都有其獨特的屬性,從而導致在一種工具中有效的策略在另一種工具中無效。因此,假設 Windows Hello 在所有裝置上都經歷了全面的妥協是不明智的。相反,此評估僅適用於利用不成功的三個實例。

雖然這些漏洞可能看起來很強大,但在現實世界的設備上成功執行它們可能非常困難。在大多數情況下,攻擊者必須物理上奪取目標硬體的所有權才能執行此類操作,而這一行為無疑會觸發原始所有者的通知。

如何防範指紋駭客攻擊

/bc/images/hacher-hat.jpg

事實上,如前所述,上述安全漏洞需要複雜的程序,通常需要對相關設備進行直接物理訪問,這大大降低了此類事件針對個人用戶的可能性。

如果不滿意持續存在,可以採取某些措施來保護自己免受指紋掃描技術潛在的破壞:

不要讓裝置處於無人看管和不受保護的狀態

為了防止需要實體互動的駭客未經授權存取您的設備,重要的是要防止盜竊或遺失的可能性。特別是對於筆記型電腦,避免將設備留在公共區域無人看管以及使用安全的防盜袋等措施可以幫助阻止潛在的竊賊試圖竊取或篡改設備。

使用不同的登入方法

Windows Hello 提供了多種驗證選項,從安全性相對較低的選項到高度安全的選項。如果您對指紋辨識等生物特徵辨識的熱情減弱,可能值得探索其他登入方式,包括臉部辨識、虹膜掃描、指紋驗證、個人識別碼 (PIN) 輸入或字母數字密碼輸入,並選擇了解最符合您的偏好和安全要求的方法。

必須認識到,由於這些安全漏洞而成為網路犯罪分子攻擊目標的可能性相對較小。因此,利用生物特徵認證措施(例如指紋掃描)通常被認為是安全的。儘管如此,建議謹慎行事,避免個人設備無人看管或容易被竊。