Cybersecuritybedrijf Blackwing Intelligence heeft in opdracht van Microsoft de drie populairste Windows Hello-vingerafdruksensors voor laptops getest. Het team heeft meerdere kwetsbaarheden ontdekt, die met succes konden worden misbruikt om de verificatiemethode te omzeilen. De drie laptops die in het onderzoek aan bod zijn gekomen zijn de Dell Inspiron 15, de Lenovo ThinkPad T14 en de Microsoft Surface Pro Type Cover van de Surface Pro 8/X.
De laptops in kwestie gebruiken sensors van Goodix, Synaptics en ELAN.
In een uitgebreide blogpost beschrijft Blackwing hoe de data kan worden benaderd die tussen de vingerafdruklezer en Windows Hello wordt verstuurd. Vervolgens gaat men aan de slag met een usb-apparaat dat voor een man-in-the-middle aanval kan worden ingezet, om zo toegang te krijgen tot een laptop met ingeschakelde vingerafdrukverificatie.
In welke mate Microsoft deze kwetsbaarheden heeft gedicht is onduidelijk. De onderzoekers raden in ieder geval aan dat Secure Device Connection Protocol te allen tijde moet worden ingeschakeld, wat bij twee van de drie toestellen niet het geval was. SDCP op zich volstaat echter niet om een systeem te beschermen tegen aanvallen. Blackwing is van mening dat de implementatie van het verificatiesysteem steeds moet worden nagekeken door een derde partij die over de nodige expertise beschikt.
Blackwing geeft meer uitleg tijdens een recente BlueHat-conferentie van Microsoft.
Bronnen: Blackwing Intelligence, The Verge
