新的指纹传感器漏洞可绕过 Windows Hello 登录
原文中文,约1300字,阅读约需4分钟。
📝
内容提要
戴尔、联想和微软笔记本电脑上的指纹传感器存在漏洞,可以绕过Windows Hello身份验证。研究人员提出了规避保护措施的方法,建议原始设备制造商启用安全设备连接协议,并由专家审核指纹传感器的实施。
🎯
关键要点
-
戴尔、联想和微软笔记本电脑的指纹传感器存在漏洞,能够绕过Windows Hello身份验证。
-
漏洞由Blackwing Intelligence的研究人员发现,涉及Goodix、Synaptics和ELAN的指纹传感器。
-
这些传感器使用芯片匹配技术,但无法防止恶意传感器欺骗合法传感器的通信。
-
研究人员发现了一种新方法,可以规避安全设备连接协议(SDCP)的保护措施。
-
在Synaptics的案例中,SDCP默认关闭,并依赖有漏洞的自定义TLS协议栈。
-
Goodix传感器利用Windows和Linux之间的根本差异进行攻击,允许攻击者使用合法用户的指纹登录。
-
建议原始设备制造商启用SDCP,并由独立专家审核指纹传感器的实施。
-
研究人员指出,设备制造商误解了SDCP的目标,导致设备暴露较大的攻击面。
🏷️
