di Alexandre Milli, 22 novembre 2023, 16:0022 novembre 2023, 16:00
Il sistema di autenticazione biometrica Windows Hello è stato bypassato dagli hacker sfruttando diverse vulnerabilità.
Windows Hello bucato dagli hacker
Windows Hello è una funzionalità di Windows che permette di autenticarsi nel proprio PC tramite sensori biometrici come lettori di impronte o fotocamere a infrarossi che riconoscono il volto o l’iride. Quest’ultimo è ormai supportato dal 90 % dei nuovi PC in commercio, per tanto può diventare un potenziale problema se dovesse essere sfruttato da malintenzionati. Un team di hacker assoldato direttamente da Microsoft in occasione dell’evento BlueHat ha preso di mira un exploit riuscendo nel tentativo di violare il sistema operativo di Microsoft con successo sfruttando proprio una falla di Windows Hello.
L’Offensive Research and Security Engineering (MORSE) di Microsoft ci ha chiesto di valutare la sicurezza dei tre principali sensori di impronte digitali incorporati nei laptop e utilizzati per l’autenticazione delle impronte digitali di Windows Hello. La nostra ricerca ha rivelato molteplici vulnerabilità che il nostro team ha sfruttato con successo, permettendoci di bypassare completamente l’autenticazione di Windows Hello su tutti e tre i laptop.
Nello specifico il problema di sicurezza nascerebbe nel modo in cui i produttori implementano il supporto di Windows Hello e l’hardware utilizzato. Il team di ricercatori di sicurezza ha scoperto che è possibile violare la sicurezza dei sensori di impronte digitali montati sui PC delle principali marche e che la registrazione delle impronte e l’autenticazione avviene proprio all’interno dei chip dedicati. Gli hacker hanno coì bypassato i sistemi di sicurezza sfruttando un attacco man-in-the-middle (MitM) tramite una connessione USB sfruttando una vulnerabilità dei sistemi di crittografia dei sensori.
Potete vedere una dimostrazione pratica dello sfruttamento della falla di Windows Hello non corretta nel video in alto. Al momento non è chiaro se i produttori adotteranno le giuste contromisure per correggere la falla.
Utilizzate Windows Hello su Windows? Che ne pensate? Raccontateci la vostra esperienza nei commenti.
Articolo di Windows Blog Italia
Fonti | 1, 2
Tag //