蓝点网
·
微软聘请的安全研究团队在Windows Hello生物验证中发现缺陷可绕过
💡
原文中文,约900字,阅读约需2分钟。
📝
内容提要
微软的安全测试团队发现了Windows Hello中的漏洞,可以绕过微软的身份验证进入Windows。漏洞是由OEM使用的指纹传感器模块的缺陷引起的,建议指纹传感器公司启用SDCP协议并聘请第三方公司确保正常工作。漏洞的发现证明Windows设备的安全性仍有待提高。
🎯
关键要点
- 微软的安全测试团队发现Windows Hello中的漏洞,可以绕过身份验证。
- 漏洞源于OEM使用的指纹传感器模块的缺陷,微软未进行严格校验。
- 指纹识别模块是独立硬件,指纹数据保存在芯片内以防被盗。
- Blackwell团队通过逆向工程发现缺陷,并创建USB设备进行中间人攻击。
- 微软使用的SDCP协议未在部分指纹传感器中启用,导致安全性降低。
- 安全团队建议指纹传感器公司启用SDCP协议并聘请第三方确保正常工作。
- Blackwell团队花费三个月找出漏洞,证明Windows设备的安全性有待提高。
- 被测试的设备包括Dell Inspiron 15、Lenovo ThinkPad T14和Microsoft Surface Pro Type Cover。
- 主要指纹传感器品牌包括ELAN、Synaptics和Goodix,许多笔记本电脑可能存在类似问题。
➡️
