Хотя пользователям ноутбуков с Windows нравится думать, что у них есть собственная версия Touch ID, похоже, она не обеспечивает такой же уровень безопасности. Система аутентификации по отпечаткам пальцев Windows Hello на трех лучших ноутбуках была протестирована исследователями безопасности – и все три не дали результата.
Справедливости ради надо сказать, что тесты на проникновение команда проводила по заказу Microsoft — но обойти оказалось проще всего именно продукт Microsoft Surface…
Microsoft попросила компанию по кибербезопасности Blackwing Intelligence провести тесты.
Отдел исследований и обеспечения безопасности Microsoft (MORSE) попросил нас оценить безопасность трех лучших датчиков отпечатков пальцев, встроенных в ноутбуки и используемых для аутентификации по отпечаткам пальцев Windows Hello. Наше исследование выявило множество уязвимостей, которые наша команда успешно использовала, что позволило нам полностью обойти аутентификацию Windows Hello на всех трех ноутбуках.
К каждому из трех пришлось применить разные подходы:
Чехол Dell Inspiron 15 Lenovo ThinkPad T14 Microsoft Surface Pro с идентификатором отпечатка пальца (для Surface Pro 8 / X)
Когда вы читаете описание используемых командой протоколов безопасности (или не используемых, как мы увидим…), это, безусловно, звучит как непростая задача. Но команда нашла способы обойти их.
Делл Инспирон 15
Когда вы загружаете компьютер в Windows, он следует протоколам полной безопасности, в том числе так называемому протоколу безопасного подключения устройства (SDCP).
Целью этой проверки является проведение следующих проверок:
Хост обращается к доверенному устройству, а не к вредоносному. Устройство проверяется на наличие взломанной прошивки. Данные отпечатков пальцев не кэшируются и не воспроизводятся.
Однако, хотя доступ Windows к считывателю использует SDCP, доступ Linux не использует, что дает команде первую идею.
Что, если мы загрузим на целевом устройстве Linux и используем сторону Linux для регистрации отпечатка пальца злоумышленника в базе данных шаблонов, указав тот же идентификатор, что и у законного пользователя, зарегистрированного на стороне Windows?
Это не сработало, так как на чипе оказались отдельные базы данных для Windows и Linux. Но Blackwing выяснила, как Windows узнает, к какой базе данных обращаться, и сумела вместо этого указать ей базу данных Linux. Это дало следующее решение (где MitM относится к атаке «Человек посередине»):
Загрузка Linux Перечислить действительные идентификаторы Зарегистрировать отпечаток пальца злоумышленника, используя тот же идентификатор, что и у законного пользователя Windows. MitM установить соединение между хостом и датчиком. Загрузить Windows. Перехватить и переписать пакет конфигурации, чтобы он указывал на базу данных Linux, используя наш MitM. Распечатать
Lenovo ThinkPad T14s
Хотя используемый здесь датчик отпечатков пальцев Synaptics поддерживает SDCP, он отключен! Вместо этого устройство использует специальный уровень транспортной безопасности (TLS), предназначенный для выполнения той же задачи.
К сожалению, эта альтернативная система безопасности не очень безопасна.
Сертификат и ключ клиента доступны для чтения любому, но они зашифрованы. Зашифровано чем? Позже выясняется, что они зашифрованы ключом, полученным из двух частей информации: названия продукта и серийного номера машины, которые он получает из BIOS через ACPI (они также доступны на наклейке внизу). ноутбука ?).
Что дало следующее решение:
Чтение зашифрованного сертификата/ключа клиента. Расшифровка зашифрованного большого двоичного объекта с помощью ключа, полученного из названия продукта и серийного номера. Согласование сеанса TLS с датчиком. Перечисление действительных идентификаторов шаблонов отпечатков пальцев Windows. Регистрация отпечатка пальца злоумышленника, подмена действительного идентификатора. Загрузка в Windows. Войти в качестве целевого пользователя Windows с отпечатком пальца злоумышленника.
Крышка типа Microsoft Surface Pro с идентификатором отпечатка пальца
Хотя команда ожидала, что официальный продукт Microsoft станет самой сложной задачей, они были поражены, обнаружив невероятно низкую безопасность.
Нет SDCP Cleartext USB-соединения. Нет аутентификации.
Поэтому им просто пришлось отключить датчик отпечатков пальцев и подключить собственное устройство, чтобы подделать его — сначала Raspberry Pi, а затем меньший и более быстрый USB-арсенал.
Отсоедините крышку типа (драйвер не может справиться с двумя подключенными датчиками, это выглядит странно) Подключите атакующее устройство, объявите VID/PID датчика Проверьте действительный SID из драйвера Windows Пройдите проверку «сколько отпечатков пальцев» Инициируйте вход по отпечатку пальца в Windows Отправить действительное Ответ на вход с поддельного устройства
А как насчет TouchID на MacBook?
Apple имеет отличный опыт реализации гораздо более эффективной биометрической безопасности, чем ее конкуренты.
И Touch ID, и Face ID хранят биометрические данные в Secure Enclave, а остальная часть Mac не имеет доступа к этим данным — он только запрашивает разрешение на разблокировку устройства, а Secure Enclave просто говорит «да» или «нет». Вот как Apple описывает это:
Чип вашего устройства включает в себя усовершенствованную архитектуру безопасности под названием Secure Enclave, которая была разработана для защиты вашего пароля и данных отпечатков пальцев. Touch ID не хранит изображения вашего отпечатка пальца, а опирается только на математическое представление. Никто не сможет реконструировать ваше фактическое изображение отпечатка пальца на основе этих сохраненных данных.
Данные ваших отпечатков пальцев зашифрованы, хранятся на диске и защищены ключом, доступным только Secure Enclave. Данные вашего отпечатка пальца используются Secure Enclave только для проверки соответствия вашего отпечатка пальца зарегистрированным данным отпечатка пальца. Доступ к нему невозможен ни из ОС вашего устройства, ни из любых запущенных на нем приложений. Он никогда не хранится на серверах Apple, не создается резервная копия в iCloud или где-либо еще, и его нельзя использовать для сопоставления с другими базами данных отпечатков пальцев.
Я ожидаю, что Blackwing потерпит неудачу, если попытается взломать Touch ID, но было бы здорово, если бы Apple продемонстрировала достаточную уверенность и попросила команду попробовать.
Фото: Майкрософт
