新的指纹传感器漏洞可绕过 Windows Hello 登录
💡
原文中文,约1300字,阅读约需4分钟。
📝
内容提要
戴尔、联想和微软笔记本电脑上的指纹传感器存在漏洞,可以绕过Windows Hello身份验证。研究人员提出了规避保护措施的方法,建议原始设备制造商启用安全设备连接协议,并由专家审核指纹传感器的实施。
🎯
关键要点
- 戴尔、联想和微软笔记本电脑的指纹传感器存在漏洞,能够绕过Windows Hello身份验证。
- 漏洞由Blackwing Intelligence的研究人员发现,涉及Goodix、Synaptics和ELAN的指纹传感器。
- 这些传感器使用芯片匹配技术,但无法防止恶意传感器欺骗合法传感器的通信。
- 研究人员发现了一种新方法,可以规避安全设备连接协议(SDCP)的保护措施。
- 在Synaptics的案例中,SDCP默认关闭,并依赖有漏洞的自定义TLS协议栈。
- Goodix传感器利用Windows和Linux之间的根本差异进行攻击,允许攻击者使用合法用户的指纹登录。
- 建议原始设备制造商启用SDCP,并由独立专家审核指纹传感器的实施。
- 研究人员指出,设备制造商误解了SDCP的目标,导致设备暴露较大的攻击面。
➡️
