Thứ Ba, 27 Tháng Hai, 2024

Lỗ hổng bảo mật cho phép truy cập máy Windows không cần vân tay

-

Một nhóm bảo mật được Microsoft thuê để kiểm tra phần cứng và phần mềm xác thực dấu vân tay Windows Hello cho biết họ có thể vượt qua công nghệ này trên một số laptop, bao gồm cả Microsoft Surface.

Theo Neowin, nhóm Blackwell Intelligence đã tiết lộ những phát hiện của họ vào tháng 10 qua trong khuôn khổ hội nghị bảo mật BlueHat của Microsoft, tuy nhiên họ chỉ đăng kết quả trên trang web riêng trong tuần này. Bài đăng trên blog có tiêu đề “A Touch of Pwn” cho biết nhóm đã sử dụng cảm biến vân tay bên trong laptop Dell Inspiron 15 và Lenovo ThinkPad T14, cùng Microsoft Surface Pro Type Cover với ID vân tay được sản xuất cho Surface Pro 8 và X. Các cảm biến vân tay cụ thể được sản xuất bởi Goodix, Synaptics và ELAN.

Tất cả các cảm biến vân tay hỗ trợ Windows Hello đã được thử nghiệm đều sử dụng phần cứng dựa trên chip, có nghĩa việc xác thực được xử lý trên chính cảm biến có chip và bộ lưu trữ riêng.

Trong tuyên bố của mình, Blackwell nói cơ sở dữ liệu về “mẫu vân tay” (dữ liệu sinh trắc học mà cảm biến vân tay thu được) được lưu trữ trên chip, việc đăng ký và so khớp được thực hiện trực tiếp trong chip. Vì các mẫu dấu vân tay không bao giờ rời khỏi chip nên điều này giúp loại bỏ những lo ngại về quyền riêng tư khi dữ liệu sinh trắc học được lưu trữ một cách an toàn. Điều này cũng ngăn các cuộc tấn công liên quan đến việc gửi hình ảnh dấu vân tay hợp lệ đến máy chủ để đối chiếu.

Mặc dù vậy, Blackwell vẫn qua mặt hệ thống sau khi sử dụng kỹ thuật đảo ngược để tìm ra lỗ hổng trong cảm biến vân tay, sau đó tạo ra thiết bị USB riêng giúp thực hiện cuộc tấn công trung gian (MitM). Thiết bị này cho phép nhóm bỏ qua phần cứng xác thực dấu vân tay trong các thiết bị đó.

Cũng theo Blackwell, mặc dù Microsoft sử dụng giao thức kết nối thiết bị an toàn (SDCP) để cung cấp kênh an toàn giữa máy chủ và thiết bị sinh trắc học nhưng hai trong số ba cảm biến vân tay đã được thử nghiệm thậm chí không bật SDCP. Blackwell khuyến nghị tất cả công ty cảm biến vân tay không chỉ kích hoạt SDCP trên sản phẩm của họ mà còn phải nhờ công ty bên thứ ba đảm bảo nó hoạt động.

Một lưu ý là Blackwell đã mất nhiều nỗ lực trong khoảng 3 tháng để vượt qua các sản phẩm phần cứng vân tay này. Vẫn chưa rõ cách Microsoft và các công ty cảm biến vân tay khắc phục vấn đề dựa trên nghiên cứu này như thế nào.

Đội ngũ quản trị luôn nỗ lực hết mình để đem đến những nội dung chất lượng nhất cho độc giả là các game thủ. Mọi ý kiến đóng góp xin gửi về [email protected]. Xin trân trọng cảm ơn!

GameN

Ban biên tập

BÀI MỚI

Diệt virus Avast bị phạt 16,5 triệu USD vì bán dữ liệu người dùng

Hãng Avast Software đã bị FTC phạt 16,5 triệu USD vì bán dữ liệu duyệt web của người dùng.

Mantle lập đỉnh mới giữa trend Layer-2 Ethereum

Mối quan tâm của cộng đồng đối với các dự án DeFi và blockchain Layer-2 trên Ethereum đã khiến token Mantle (MNT) đạt mức giá cao nhất mọi thời đại mới.

Xiaomi 14 Series chính thức ra mắt toàn cầu

Xiaomi vừa chính thức cho ra mắt Xiaomi 14 Series tại triển lãm MWC 2024, điểm nhấn là ống kính quang học Leica Summilux với các công nghệ nhiếp ảnh tiên tiến nhất để nâng cao trải nghiệm chụp ảnh di động.

Phim chuyển thể Borderlands tung trailer đầu tay

Mới đây, Lionsgate đã chính thức công bố trailer đầu tiên cho phần phim Borderlands, được công chiếu tại các cụm rạp bắt đầu từ 08/08/2024.

Follow us

5,655Thành viênThích
1,204Người theo dõiTheo dõi
2,189Người theo dõiĐăng Ký
Dành cho quảng cáo

ĐỌC NHIỀU