Skener odtlačkov prstov v mnohých počítačoch dokázal vyvolať závažnú zraniteľnosť.

Služba Windows Hello je populárna medzi používateľmi počítačov práve so systémom Windows. Posledné štatistiky, ktoré zdieľala spoločnosť Microsoft v roku 2020 odhalili, že približne 85 % používateľov systému Windows 10 túto službu využíva. Dá sa však pritom odhadovať, že veľká časť týchto používateľov sa spolieha aj na skener odtlačkov prstov, ktorým si svoj počítač odomyká a zabezpečuje.

Toto zabezpečenie však nie je stopercentné, čo odhalila skupina s názvom BlackWing. Bezpečnostný tím Microsoftu známy pod názvom MORSE totiž túto skupinu požiadal, aby preveril, aká je bezpečnosť troch najlepších skenerov odtlačkov prstov v počítačoch so systémom Windows a aktívnou službou Windows Hello. Microsoft však vtedy zrejme nečakal, že sa odhalí závažná zraniteľnosť.

Zraniteľnosť sa odhalila vo viacerých prípadoch

Skupina BlackWing preverovala skenery odtlačkov prstov, ktoré sa nachádzali v zariadeniach ako Dell Inspiron 15, Lenovo ThinkPad T14 a Microsoft Surface Pro Type Cover with Fingerprint ID (for Surface Pro 8 / X). Vo všetkých troch prípadoch sa však našla závažná zraniteľnosť, ktorá umožňovala útočníkom vykonať Man-in-the-Middle útok.

Surface Laptop Go 2Zdroj: Samuel Hindy / TOUCHIT
Surface Laptop Go 2

Zraniteľné miesta sú pritom prítomné v kryptografickej implementácii vlastného protokolu TLS v senzore Synaptics. Po zložitom postupe, ktorým sa toto testovanie bezpečnosti vykonávalo sa zistilo, že útočník mohol získať prístup k počítaču so systémom Windows, ktorý je chránený heslom prostredníctvom typu Man-in-the-Middle útoku. Celé toto testovanie prebiehalo tri mesiace a odhalilo 100 % úspešnosť pri obchádzaní zabezpečenia prostredníctvom Windows Hello.

Chyba môže byť u výrobcov

Aj keď Microsoft spravil pomerne dobrú prácu pri vytváraní bezpečnostných protokolov a snahe o zabezpečenie počítačov so systémom Windows, nedokázal sa vyhnúť všetkému, čo by sa na zraniteľnosť aj keď len podobalo. Tí, ktorí toto zabezpečenie testovali, veria, že chyba môže byť aj na strane výrobcov počítačov, resp. skenerov odtlačkov prstov. Tí nedokázali využiť plný potenciál týchto protokolov a v niektorých prípadoch ich dokonca ani len neaktivovali.

Táto zraniteľnosť však nabáda používateľov na to, aby zvážili alternatívne metódy pre ochranu zabezpečenia svojho počítača, nakoľko využívanie skenera odtlačku prstov nemusí byť úplne najlepšou metódou. Aspoň teda kým sa tieto detaily, nedoladia do dokonalosti.

Zdroj: blackwinghq.com, andro4all.com

Prečítajte si aj:

Katarína Šimková

Katarína Šimková
Smartfóny, nositeľná elektronika či produkty inteligentnej domácnosti, zaujímam sa o všetko, čo i len okrajovo súvisí s technológiami.