من فضلك تسجيل الدخول أو تسجيل لتفعل ذلك.

في تطور صادم، اكتشف باحثو الأمن السيبراني في Blackwing Intelligence خطورة الأمر نقاط الضعف يمكن أن يجعل Windows Hello عديم الفائدة كأداة مصادقة على أجهزة الكمبيوتر المحمولة الشهيرة مثل Microsoft Surface Pro X وLenovo ThinkPad T14 وDell Inspiron 15.

تم اكتشاف الثغرة الأمنية من قبل الباحثين تيمو تيراس وجيسي داجوانو.

توجد هذه العيوب في أجهزة استشعار بصمات الأصابع المصنعة من قبل علامات تجارية مشهورة مثل ELAN وSynaptics وGoodix.

من المحتمل أن تمكن الثغرات الأمنية اللاعبين الضارين من تجاوز الإجراءات الأمنية مما يثير مخاوف جدية بشأن حماية بيانات المستخدم على آلاف الأجهزة.

يتم دعم مستشعرات بصمات الأصابع المخترقة بواسطة تقنية MoC (المطابقة على الشريحة). تقوم هذه التقنية بدمج الوظائف البيومترية مباشرة في دائرة مستشعر بصمة الإصبع.

على الرغم من أن هذه التقنية قد تم تصميمها لمنع إعادة تشغيل بيانات بصمات الأصابع المخزنة، إلا أنها ليست محصنة ضد أجهزة الاستشعار الضارة التي تدعي كذبًا مصادقة المستخدم الناجحة.

ما الذي أدى إلى الثغرة الأمنية في مستشعر بصمة الإصبع؟

أنشأت Microsoft SDCP (بروتوكول اتصال الجهاز الآمن) للتخفيف من الثغرات الأمنية عن طريق إنشاء قناة آمنة من طرف إلى طرف. ومع ذلك، وجد الباحثون أن اللاعبين الضارين يمكنهم تجاوز آليات الدفاع هذه من خلال طريقة جديدة وشن هجمات الخصم في الوسط (AitM).

تم تحديد مستشعر ELAN، الذي يفتقر إلى دعم SDCP، على أنه عرضة لانتحال المستشعر ونقل معرفات الأمان (SIDs) بنص واضح.

يسمح هذا لأي جهاز USB بانتحال صفة مستشعر بصمة الإصبع، والذي يقوم بالمصادقة بشكل خاطئ على تسجيل دخول المستخدم. في الإعدادات الافتراضية لـ Synaptics، تم إيقاف تشغيل SDCP، وكان مكدس أمان طبقة النقل (TLS) المخصص في هذا النظام معيبًا. يمكن للأوغاد الاستفادة من هذه الثغرة الأمنية لتجاوز المصادقة البيومترية.

من ناحية أخرى، يتيح مستشعر Goodix للمهاجمين الاستفادة من غياب دعم SDCP في Linux. توجد بعض الاختلافات في عمليات التسجيل بين Linux وWindows.

يتضمن هذا الهجوم خطوات متعددة، حيث يقوم المهاجمون بتشغيل النظام على Linux، وتسجيل بصمات أصابعهم، والتلاعب بالاتصال بين المستشعر والمضيف. وفي النهاية، يقوم المهاجم بتسجيل الدخول إلى النظام كمستخدم شرعي.

هذا ما يوصي به الباحثون للتخفيف من المخاطر

يوصي الباحثون مستخدمي الكمبيوتر المحمول بالالتزام باستخدام الشركات المصنعة للمعدات (OEMs) حتى يتمكنوا من تمكين SDCP وإجراء عمليات تدقيق مستقلة لأجهزة استشعار بصمات الأصابع.

ومع ذلك، فإن اكتشاف الثغرات الأمنية يأتي بمثابة ضربة للمصادقة المستندة إلى القياسات الحيوية لـ Windows Hello. مرة أخرى في يوليو 2021، كان على Microsoft إصلاح هذه المشكلة القضايا الأمنية حيث يمكن للخصوم انتحال وجه الهدف وتجاوز شاشة تسجيل الدخول.

وقد أقر الباحثون أيضًا بأن Microsoft قد صممت SDCP لقناة آمنة بين الأجهزة المضيفة وأجهزة القياسات الحيوية. ومع ذلك، لم يترددوا في الإشارة إلى التناقضات الواضحة في أهداف الشركات المصنعة للأجهزة.

بالإضافة إلى ذلك، يؤكدون على أن SDCP لديه نطاق محدود فقط في التحكم في تشغيل الجهاز. وهذا يعرضهم لنقاط ضعف كبيرة تستدعي الاهتمام.

ويحتاج المستخدمون إلى توخي الحذر، بينما يتعرض مصنعو المعدات الأصلية لضغوط لإصلاح الثغرات الأمنية. ويشكل هذا التطور تحديًا آخر أمام صناعة التكنولوجيا، حيث تحتاج إلى تحقيق التوازن الصحيح بين الأمان والراحة.

اقرأ أكثر

تواجه Nvidia دعوى قضائية حيث تزعم Valeo سرقة Novel Automotive Tech
Adobe: مبيعات عيد الشكر عبر الإنترنت في الولايات المتحدة تصل إلى 5.6 مليار دولار؛ Salesforce: تم إنفاق 31.7 مليار دولار على مستوى العالم

Reactions

0
0
0
0
0
0
بالفعل كان رد فعل لهذا المنصب.

ردود الفعل