Microsoft’un Windows Hello parmak izi kimlik doğrulaması Dell, Lenovo ve hatta Microsoft‘un dizüstü bilgisayarlarında bypass edildi. Blackwing Intelligence’daki güvenlik araştırmacıları, dizüstü bilgisayarlara yerleştirilen ve işletmeler tarafından Windows Hello parmak izi kimlik doğrulaması ile dizüstü bilgisayarları teminat altına almak için yaygın olarak kullanılan birinci üç parmak izi sensöründe birden fazla güvenlik açığı keşfetti. Windows Hello’da güvenlik açıkları var
Blackwing Intelligence’daki güvenlik araştırmacıları, Dell, Lenovo ve Microsoft tarafından üretilen dizüstü bilgisayarların, sensörlerdeki güvenlik açıkları nedeniyle Windows Hello parmak izi kimlik doğrulamasının nispeten kolay kolay atlatılabileceğini ve bunun da sistemdüzeyinde berbat aktörler tarafından ele geçirilmesine neden olabileceğini ortaya çıkardı. Dizüstü bilgisayar markalarının birden fazla Goodix, Synaptics ve ELAN‘ın parmak izi sensörlerini kullanıyor ve hepsinde kusurların olduğu belirtiliyor.
Blackwing Intelligence araştırmacıları Dell Inspiron 15, Lenovo ThinkPad T14 ve Microsoft Surface Pro X aygıtlarını test etti ve bu aygıtların hepsi güvenlik açıkları nedeniyle sınıfta kaldı. Araştırmacılar, bypass sürecinin dizüstü bilgisayarlardaki donanım ve yazılımın bilakis mühendislik gerektirdiğini söylerken bilhassa Synaptics sensörünün güvenlik katmanında kusurlar buldular. Elbette Windows Hello’nun atlanması kolay bir iş değil lakin nihayetinde bunun ehil bir hacker tarafından yapılabileceği araştırma sonucunda gösterildi.
Öte yandan bu, Windows Hello biyometri tabanlı kimlik doğrulamasının birinci sefer aşılışı değil. Daha evvel kızıl ötesi imaj kullanılarak yüz tanıma özelliğinin atlanabildiğini görmüştük. Microsoft geçtiğimiz yıllarda bunu düzeltmiş olsa da firmanın bu son açıkları tek başına düzeltip düzeltemeyeceği muhakkak değil. Araştırmacılar, Microsoft’un ana bilgisayar ve biyometrik aygıtlar ortasında inançlı bir kanal sağlamak için İnançlı Aygıt İrtibat Protokolünü (SDCP) tasarlayarak uygun bir iş çıkardığını söylese de test edilen üç aygıttan ikisinde SDCP muhafazasının aktif olmadığının altını çiziyor.
