安全研究人員利用嵌入式指紋傳感器中發現的安全漏洞,在戴爾Inspiron、聯想ThinkPad和微軟Surface Pro X筆記本電腦上繞過了Windows Hello指紋驗證。
Blackwing Intelligence的安全研究人員在微軟進攻性研究和安全工程(MORSE)贊助的研究中發現了這些漏洞,該研究旨在評估Windows Hello指紋驗證使用的三大嵌入式指紋傳感器的安全性。
Blackwing 的 Jesse D'Aguanno 和 Timo Ter?s 針對微軟 Surface Pro X、聯想 ThinkPad T14 和戴爾 Inspiron 15 上由 ELAN、Synaptics 和 Goodix 制造的嵌入式指紋傳感器進行了測試。
所有測試的指紋傳感器都是片上匹配(MoC)傳感器,擁有自己的微處理器和存儲空間,可以在芯片內安全地進行指紋匹配。
不過,雖然 MoC 傳感器可以防止將存儲的指紋數據重放至主機進行匹配,但它們本身并不能阻止惡意傳感器模仿合法傳感器與主機進行通信。這可能會錯誤地顯示用戶身份驗證成功,或重放先前觀察到的主機與傳感器之間的通信。
為了抵御利用這些弱點的攻擊,微軟開發了安全設備連接協議(SDCP),該協議本應確保指紋設備是可信的、健康的,并確保指紋設備和主機之間的輸入在目標設備上受到保護。
盡管如此,安全研究人員還是在所有三臺筆記本電腦上使用中間人(MiTM)攻擊,利用定制的 Linux 驅動的 Raspberry Pi 4 設備,成功繞過了 Windows Hello 身份驗證。
在整個過程中,他們使用了軟件和硬件逆向工程,破解了 Synaptics 傳感器定制 TLS 協議中的加密實現缺陷,并解碼和重新實現了專有協議。
在戴爾和聯想筆記本電腦上,通過枚舉有效 ID 和使用合法 Windows 用戶的 ID 注冊攻擊者的指紋(Synaptics 傳感器使用自定義 TLS 堆棧而不是 SDCP 來確保 USB 通信安全),實現了身份驗證繞過。
對于Surface設備,其ELAN指紋傳感器沒有SDCP保護,使用明文USB通信,也沒有身份驗證,他們在斷開包含傳感器的Type Cover連接后欺騙了指紋傳感器,并從欺騙的設備發送了有效的登錄響應。
"研究人員說:"微軟在設計 SDCP 以在主機和生物識別設備之間提供安全通道方面做得很好,但不幸的是,設備制造商似乎誤解了其中的一些目標。
"此外,SDCP 只覆蓋了典型設備非常狹窄的操作范圍,而大多數設備都暴露出了相當大的攻擊面,SDCP 根本沒有覆蓋這些攻擊面。"
Blackwing Intelligence發現,在三臺目標筆記本電腦中,有兩臺甚至沒有啟用安全設備連接協議(SDCP),因此建議生產生物識別身份驗證解決方案的供應商確保啟用SDCP,因為如果不開啟SDCP,將無助于挫敗攻擊。
微軟表示,三年前,使用Windows Hello而不是密碼登錄Windows 10設備的用戶數量從2019年的69.4%增長到了84.7%
在上個月微軟的BlueHat大會上,Blackwing Intelligence的安全研究人員Jesse D'Aguanno和Timo Ter?s發表演講詳細演示了如何繞過Windows Hello的指紋認證,并以他人身份登錄。
這項研究由微軟的攻擊性研究和安全工程團隊(MORSE)委托及贊助,并于本周向公眾公開。研究重點是繞過三款筆記本電腦上的Windows Hello指紋認證:戴爾Inspiron 15,聯想ThinkPad T14和微軟Surface Pro 8/X,它們分別使用了Goodix、Synaptics和ELAN的嵌入式指紋傳感器。
上述指紋傳感器都屬于“芯片上匹配(MoC)”(也稱“傳感器內匹配”)類型的傳感器。與主機上匹配相反,MoC傳感器在芯片中具有微處理器和存儲器,從而可以在芯片內安全地進行指紋匹配。由于指紋模板永遠不會離開芯片,這消除了生物識別數據從主機中外泄的隱私問題。
不過,雖然MoC防止了將存儲的指紋數據發送到主機進行匹配,但它本身并不能防止惡意傳感器欺騙合法傳感器與主機的通信,并假稱授權用戶已成功進行了認證。并且,它也不能防止重放先前觀察到的主機和傳感器之間的通信。
為了對抗利用上述缺陷的攻擊,微軟開發了安全設備連接協議(SDCP),用以確保指紋設備被信任、運行狀況良好,并且指紋設備與主機之間的輸入受到保護。
然而,安全研究員Jesse D'Aguanno和Timo Ter?s利用自定義的Linux樹莓派4設備,在這三臺筆記本電腦上通過中間人攻擊(MITM),成功繞過了Windows Hello認證。
據了解,他們在戴爾和聯想筆記本電腦上,通過枚舉有效的ID并使用合法Windows用戶的ID注冊攻擊者的指紋,實現了認證繞過(Synaptics傳感器使用了自定義TLS堆棧而不是SDCP來保護USB通信)。
對于Surface設備,其ELAN指紋傳感器沒有SDCP保護,使用明文USB通信,并且缺乏認證,研究員在斷開包含傳感器的Type Cover后偽造了指紋傳感器,并從偽造的設備發送了有效的登錄響應。
最終結果是,上述筆記本的Windows Hello指紋認證全數被黑客攻破。研究人員表示,這并不是Windows Hello或使用指紋的問題,更多的是由于軟件和硬件之間的通信存在缺陷或疏忽。安全研究員建議設備制造商檢查該項報告,確保他們的產品沒有類似設計缺陷。
報告原文:https://blackwinghq.com/blog/posts/a-touch-of-pwn-part-i/
編輯:左右里
資訊來源:Blackwing Intelligence、thehackernews
轉載請注明出處和本文鏈接