L’autentificazione dovrà essere sempre più a prova di intrusioni, anche quando si vuole accedere al proprio PC personale. Purtroppo, anche con sistemi efficienti come Windows Hello, non sempre la sicurezza è al 100%.
Di recente infatti l’autentificazione tramite impronta digitale è stata aggirata su tre tipologie diverse di laptop.
Windows Hello, l’autentificazione a impronta digitale è stata violata
Come riporta The Verge, l’autenticazione tramite impronta digitale di Windows Hello di Microsoft è stata aggirata sui laptop Dell, Lenovo e persino Microsoft. A essere colpiti da questa recente violazione sono per la precisione i modelli Dell Inspiron 15, Lenovo ThinkPad T14 e Microsoft Surface Pro X.
A riferirlo sono alcuni ricercatori di Blackwing Intelligence, specializzati nella sicurezza informatica. Essi hanno scoperto diverse vulnerabilità nei tre principali sensori di impronte digitali. Questi ultimi sono incorporati nei laptop e vengono ampiamente utilizzati dalle aziende per proteggere i laptop col sistema di autentificazione a impronta digitale di Windows Hello.
L’Offensive Research and Security Engineering (MORSE) di Microsoft ha chiesto a Blackwing Intelligence di valutare la sicurezza dei sensori di impronte digitali e i ricercatori hanno fornito i loro risultati in una presentazione alla conferenza BlueHat di Microsoft in ottobre.
Identificando i popolari sensori di impronte digitali di Goodix, Synaptics ed ELAN come obiettivi per la loro ricerca, i ricercatori hanno descritto il processo di costruzione di un dispositivo USB in grado di eseguire un’operazione man-in-the-middle (MitM ).
Si tratta di un attacco che potrebbe fornire l’accesso a un laptop rubato o persino permettere un attacco inaspettato da parte di una persona qualsiasi. Quest’ultima potrebbe infatti trovare all’improvviso un PC incustodito e violarlo grazie a questo dispositivo USB.
La sicurezza anche nelle impronte digitali
I sensori di impronte digitali sono ora ampiamente utilizzati dagli utenti di laptop Windows, grazie alla spinta di Microsoft verso Windows Hello e un futuro senza password, già sostenuto anche da diverse sue aziende concorrenti.
Microsoft ha rivelato tre anni fa che quasi l’85% dei consumatori utilizzava Windows Hello per accedere ai dispositivi Windows 10 invece di utilizzare una password.
Questa non è la prima volta che l’autenticazione basata sulla biometria di Windows Hello viene raggirata. Sempre The Verge ricorda come Microsoft fosse stata costretta a correggere una vulnerabilità di bypass dell’autenticazione di Windows Hello nel 2021.
Non è chiaro, però, se Microsoft sarà in grado di risolvere da sola questi ultimi difetti. Anche perché i ricercatori hanno scoperto che la protezione SDCP di Microsoft non era abilitata su due dei tre dispositivi presi di mira.
Nel frattempo, Blackwing Intelligence sta anche esplorando dei particolari attacchi informatici nei confronti del firmware del sensore, e persino sulla sicurezza del sensore di impronte digitali su altri dispositivi, come Linux, Android e Apple.
