Um estudo encontrou falhas de segurança envolvendo o Windows Hello, sistema de login com dados biométricos empregado pelo sistema da Microsoft. Mais especificamente, as vulnerabilidades foram detectadas nos componentes usados pelos laptops Dell Inspiron 15, Lenovo ThinkPad T14 e Microsoft Surface Pro X.
Os problemas estão em leitores fabricados pelas empresas Goodix, Synaptics e Elan. Eles vêm equipados nos modelos de laptops mencionados.
As brechas foram encontradas pela empresa de cibersegurança Blackwing Intelligence, em uma pesquisa encomendada pela própria Microsoft.
Os especialistas descobriram que é possível driblar a proteção dos leitores de digitais, desde que o usuário tenha ativado essa opção anteriormente.
Sensores têm falhas em criptografia e protocolos
Usando engenharia reversa no hardware e no software, os pesquisadores descobriram falhas na implementação da criptografia no sensor da Synaptics. Usando decodificação e reimplementação, eles conseguiram enganar o Windows Hello.
Já o componente da Elan é vulnerável por não ter suporte adequado ao SDCP, protocolo da Microsoft para comunicação segura de ponta a ponta, e por transmitir identificadores de segurança sem criptografia.
Assim, é possível usar um aparelho USB para se passar por um sensor e conseguir uma autorização para fazer login.
Por fim, o ataque ao sensor da Goodix usa o Linux, que não tem suporte a SDCP, para configurar a digital do agente mal-intencionado como se fosse a legítima do usuário. Depois, é possível alterar o banco de dados usado pelo sensor e conseguir acesso ao sistema.
Fabricantes precisam auditar sistemas
Segundo a Blackwing, o problema não está no SDCP, protocolo criado pela Microsoft, e sim nos componentes. “Infelizmente, os fabricantes parecem não entender corretamente alguns dos objetivos [do padrão]”, escrevem os especialistas Jesse D’Aguanno e Timo Teräs.
Além disso, eles explicam que o protocolo cobre “apenas um escopo muito pequeno da operação típica de um dispositivo, enquanto a maioria dos aparelhos tem uma superfície de exposição muito maior, não coberta pelo SDCP”.
A empresa de cibersegurança recomenda que as fabricantes se certifiquem que o SDCP está ativado e garantam que a implementação seja auditada por um especialista qualificado.
Mesmo assim, não é a primeira vez que o Windows Hello é enganado. Em 2021, a empresa de cibersegurança Cyber Ark conseguiu invadir o sistema usando uma webcam falsa. A Microsoft resolveu o problema.
Com informações: The Verge, The Hacker News
Estudo descobre falhas em leitores de digitais usados por Windows Hello
You must be logged in to post a comment.