Microsoft’un Windows Hello parmak izi kimlik doğrulaması Dell, Lenovo ve hatta Microsoft‘un dizüstü bilgisayarlarında bypass edildi. Blackwing Intelligence’daki güvenlik araştırmacıları, dizüstü bilgisayarlara yerleştirilen ve işletmeler tarafından Windows Hello parmak izi kimlik doğrulaması ile dizüstü bilgisayarları güvence altına almak için yaygın olarak kullanılan ilk üç parmak izi sensöründe birden fazla güvenlik açığı keşfetti. Windows Hello’da güvenlik açıkları var
Blackwing Intelligence’daki güvenlik araştırmacıları, Dell, Lenovo ve Microsoft tarafından üretilen dizüstü bilgisayarların, sensörlerdeki güvenlik açıkları nedeniyle Windows Hello parmak izi kimlik doğrulamasının nispeten kolayca atlatılabileceğini ve bunun da sistemdüzeyinde kötü aktörler tarafından ele geçirilmesine neden olabileceğini ortaya çıkardı. Dizüstü bilgisayar markalarının çoğu Goodix, Synaptics ve ELAN‘ın parmak izi sensörlerini kullanıyor ve hepsinde kusurların olduğu belirtiliyor.
Blackwing Intelligence araştırmacıları Dell Inspiron 15, Lenovo ThinkPad T14 ve Microsoft Surface Pro X cihazlarını test etti ve bu cihazların hepsi güvenlik açıkları nedeniyle sınıfta kaldı. Araştırmacılar, bypass işleminin dizüstü bilgisayarlardaki donanım ve yazılımın tersine mühendislik gerektirdiğini söylerken özellikle Synaptics sensörünün güvenlik katmanında kusurlar buldular. Elbette Windows Hello’nun atlanması basit bir iş değil ancak nihayetinde bunun yetkin bir hacker tarafından yapılabileceği araştırma sonucunda gösterildi.
Öte yandan bu, Windows Hello biyometri tabanlı kimlik doğrulamasının ilk kez aşılışı değil. Daha önce kızıl ötesi görüntü kullanılarak yüz tanıma özelliğinin atlanabildiğini görmüştük. Microsoft geçtiğimiz yıllarda bunu düzeltmiş olsa da firmanın bu son açıkları tek başına düzeltip düzeltemeyeceği belli değil. Araştırmacılar, Microsoft’un ana bilgisayar ve biyometrik cihazlar arasında güvenli bir kanal sağlamak için Güvenli Cihaz Bağlantı Protokolünü (SDCP) tasarlayarak iyi bir iş çıkardığını söylese de test edilen üç cihazdan ikisinde SDCP korumasının etkin olmadığının altını çiziyor.
