現在部分 Windows 筆電也提供了像是 Mac 一樣的指紋辨識登入功能,但據網路安全公司 Blackwing Intelligence 的測試結果卻顯示,Windows Hello 的指紋辨識系統安全性似乎不太夠。
據 Blackwing Intelligence 的部落格顯示,會發起這項測試是受到微軟(Microsoft)攻擊性研究與安全工程團隊的要求,希望 Blackwing Intelligence 能替他們評估 Windows 筆電的 Windows Hello 指紋辨識系統安全性。
Blackwing Intelligence 總共測試了三台 Windows 筆電,分別是 Dell Inspiron 15、Lenovo ThinkPad T14,以及微軟自家的 Surface Pro 實體鍵盤保護蓋(for Surface Pro 8 / X)。有趣的是,最容易被繞過的竟然是微軟自家產品。
不過三台筆電得採取不同方式來繞過 Windows Hello 指紋辨識系統安全性。
Dell Inspiron 15
當使用者將電腦啟動到 Windows 作業系統時,它會遵循完整的安全協議,其中包括安全連接協議(SDCP),其目的是檢查「主機正在與受信任的設備而不是惡意設備進行通信」、「檢查設備以確保它沒有運行被駭客入侵的韌體」、「指紋資料不會被快取或重播」。
雖然 Windows 對讀卡機的存取使用了 SDCP 協議,但對 Linux 的讀取卻沒有,而這也給團隊第一個想法;Blackwing Intelligence 就嘗試將目標裝置啟動到 Linux,並使用 Linux 端將攻擊者指紋註冊到資料庫中,並指定此一指紋資料與 Windows 端註冊的合法使用者使用相同的 ID。
但此一方式並沒有奏效,因為晶片上有針對 Windows 與 Linux 個別單獨的資料庫。不過 Blackwing Intelligence 弄清楚 Windows 如何知道要存取哪個資料庫後,便設法將其指向 Linux 資料庫,便啟動了另一套方式:
- 啟動至 Linux
- 枚舉有效的 ID
- 使用與合法 Windows 使用者相同 ID,並著側攻擊者的指紋
- MitM(中間人攻擊)主機與感測器間的連接
- 啟動 Windows
- 使用 MitM 攔截並重寫配置資料包以指向 Linux DB
- 使用攻擊者的指紋以合法使用者身份登入電腦
Lenovo ThinkPad T14
雖然 Lenovo ThinkPad T14 使用的 Synaptics 指紋感測器支援 SDCP 協議,但實際上卻是被禁用。裝置使用自訂傳輸安全層(TLS)來完成相同的工作。
但 Blackwing Intelligence 認為這個替代安全系統並不是很安全,並表示「任何人都可以讀取用戶端憑證與金鑰,但它們是加密的,不過是用什麼來加密?在更多的 RE 之後,證明它們是透過兩個資訊派生的金鑰來進行加密:機器的產品名稱和序號,透過 ACPI 從 BIOS 檢索(可以在裝置底部的貼紙上找到資訊)筆電。
Blackwing Intelligence 最後找到繞過 Lenovo ThinkPad T14 指紋辨識登入的步驟:
- 讀取加密的用戶端憑證/金鑰
- 使用產品名稱和序號派生的金鑰解密加密的 blob
- 與感測器協商 TLS 對話
- 枚舉有效的 Windows 指紋 ID 範本
- 登記攻擊者指紋、欺騙有效 ID
- 啟動進入 Windows
- 使用攻擊者的指紋以目標 Windows 使用者身份登入
Surface Pro 實體鍵盤保護蓋
原本團隊以為,要繞過微軟官方產品將會是此次測試中最艱鉅的挑戰,但實際上卻驚訝地發現,該公司的產品安全性極為糟糕。
Blackwing Intelligence 發現,微軟的這款鍵盤蓋產品沒有 SDCP、明文(Cleartext)USB 通信、沒有認證。因此只需斷開指紋感測器,並插入自己的裝置即可對受害者的電腦進行欺騙:
- 拔下鍵盤蓋(驅動程式無法處理插入的兩個感測器)
- 插入攻擊設備,通告感測器的 VID/PID
- 從 Windows 驅動程式觀察有效的 SID
- 透過「有多少指紋」檢查
- 在 Windows 上啟動指紋登入
- 從欺騙設備發送有效登入回應
(首圖來源:微軟)
科技新報粉絲團
加入好友
訂閱免費電子報
