Microsofts Hello-authenticatie kwetsbaar op onder meer eigen Surface Pro X

De kwetsbaarheden zijn ontdekt door IT-beveiligers van Blackwing Intelligence die onderzoek deden naar de drie meest voorkomende vingerafdrukscanners in pc's voor zakelijk gebruik. Microsofts Offensive Research and Security Engineering (MORSE) had om het onderzoek gevraagd.

Cryptografische implementatie gaat fout

De onderzoekers namen de scanners van Goodix, Synaptics, and ELAN onder de loep en presenteerden hun resultaten gisteren in een blog opgemerkt door The Verge. Daaruit blijkt dat gestolen of tijdelijk onbewaakte laptops ontgrendeld kunnen worden, zonder de benodigde juiste vingerafdruk. Ze demonstreren dat hun aanvalsmethode werkt met een Dell Inspiron 15, Lenovo ThinkPad T14 en een Microsoft Surface Pro X. 

Volgens de onderzoekers zitten er fouten in de manier waarop de cryptografie in de sensoren is geïmplementeerd. Microsoft heeft het Secure Device Connection Protocol (SDCP) weliswaar goed ontworpen, maar het is door de producenten van de scanners niet goed toegepast.

Biometrische authenticatie kan ook falen

Hoewel niet iedere hobby-hacker makkelijk de man-in-the-middle-aanval kan uitvoeren - er kwam reverse engineering van software en hardware bij kijken - geeft het voorval wel aan dat de strategie van wachtwoordloze authenticatie niet perse veilig is. Microsoft heeft eerder verklaard dat inmiddels 85% van de consumenten de biometrische authenticatie Windows Hello gebruikt om hun Windows 10-laptop te ontgrendelen. 

Het is niet de eerste keer dat zwakke plekken worden ontdekt in Microsofts Hello-authenticatie, memoreert The Verge. In 2021 moest Microsoft ook al een bugfix uitvoeren omdat het mogelijk beek de ingebouwde gezichtsherkenning te foppen met een infrarood-afbeelding van de rechtmatige gebruiker van de laptop.