パスワードを忘れた? アカウント作成
20148116 story
Windows

セキュリティリサーチャー、Windows Hello指紋認証の突破に成功 18

ストーリー by nagazou
突破 部門より
headless 曰く、

Blackwing Intelligence が Windows Hello 指紋認証を用いるノート PC の指紋センサーを調査し、指紋認証の突破に成功したそうだ (Blackwing Intelligence のブログ記事The Verge の記事Ghacks の記事Bleeping Computer の記事)。

Windows Hello 指紋認証ではチップ上に指紋データを確認して認証を行う Match on Chip (MoC) と呼ばれる指紋センサーを用いる。MoC では指紋データがホストに送られることはなく、バイオメトリック情報の盗難を懸念する必要もない。MoC 自体にはセンサーのなりすましを識別する機能が搭載されていないが、指紋センサーのセキュリティを確実にする Secure Device Connection Protocol (SDCP) も用意されている。

Blackwing Intelligence は Microsoft Offensive Research and Security Engineering (MORSE) の依頼を受け、Dell Inspiron 15 と Lenovo ThinkPad T14、Microsoft Surface Pro 8 (指紋センサー搭載タイプカバー) を調査。3 機種はそれぞれ指紋センサーも実装も異なるが、最終的にはなりすましの指紋センサーで認証を突破できたという。なお、SDCP が完全にサポートされ、有効になっていたのは Inspiron 15 のみ。ThinkPad T14 と Surface Pro 8 では SDCP が使用できなかったとのことだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2023年11月24日 18時03分 (#4569149)

    hello world(のコードに)脆弱性が!と空目してPANICになった

    • by Anonymous Coward

      hello world(のコードに)脆弱性が!と空目してPANICになった

      映画hello worldの方は脆弱性突きまくりでビッグバンでした

  • by Anonymous Coward on 2023年11月24日 18時28分 (#4569157)

    何十年も前に指紋のなりすましに成功してるんだけど何を今更って感じ

  • by Anonymous Coward on 2023年11月24日 18時32分 (#4569159)

    ディスプレイを閉じるとそれに指紋センサーが反応してスリープが解除されるので無効にした🐭のノート
    読み取り精度も微妙だったしな

    • by Anonymous Coward

      機能のは廃止も遠くないでしょう

  • by Anonymous Coward on 2023年11月24日 21時23分 (#4569214)

    追加課金ができるね

    # それはサーチャージ

  • by Anonymous Coward on 2023年11月24日 22時22分 (#4569235)

    そもそも攻撃対象にLinuxのインストール必須の時点でもう無理

    • by Anonymous Coward

      USB keyとかではだめなん?

    • by Anonymous Coward

      そもそも攻撃対象にLinuxのインストール必須の時点でもう無理

      MSがWSLを標準で有効化すればいいだけの話ですよ

      # 同時に鍵なしssh serverのサービスも自動起動するようになる

      • by Anonymous Coward on 2023年11月25日 2時37分 (#4569282)

        今回のは、セキュアブート可能なLinuxがいて、Linux向けに脆弱な指紋認証ドライバを提供してることが最低条件。
        脆弱な実装になってるLinux側で、ハードウェアのもってる情報を書換えてしまうというところがミソなので、WSLじゃなんの意味ないよ。

        デュアルブート環境で、Linux側がハックされたあと(今回はLinux側は最初から使える状態で開始だけど)なら、Windows側もハックできるよっていう調査結果。
        Linux側がハックされてもWindows側のハックは困難だったけど、Windows Helloの指紋認証が有効だと機種によってはLinuxだけなんとかすればいいって感じになったようだ。

        親コメント
        • by Anonymous Coward

          Linuxも登録情報の改ざんやMITMに必要なだけで、指紋認証デバイスのドライバやプロトコルスタックが脆弱ってオチみたいですね。
          Linuxでも問題になるっていうか、Chromebookやスマホにも応用出来そうな感じ……

          Surfaceに採用されてるELANがザル過ぎて笑えるで、Surface以外でもELAN採用してるPCは気を付けるか無効化しないと怖いレベル。
          指紋認証のコネクタ抜いて、USBポートに攻撃デバイス挿せばオッケーとかそりゃないぜ。

    • by Anonymous Coward

      セキュリティ研究者がそもそも大事な部分を隠して話題性高めるクズ共だからあんまり信用もしてなかったけど
      今回はそういうことか
      特権昇格必須のくだらない脆弱性なんていちいち記事にすんなしょーもない

    • by Anonymous Coward

      セキュリティ研究者が主語のデカい話をし始めたら大体話半分未満だと思った方がいい。
      ShellshockとかHeartbleedに味をしめた連中が、とにかく危険を煽って知名度を得ようとしてくるから。
      サイドチャネル攻撃がまさにその典型的な例を連発してくる。攻撃はできるけど、達成条件があまりにも現実離れしてるとかね。

typodupeerror

にわかな奴ほど語りたがる -- あるハッカー

読み込み中...