Sistem imbasan cap jari pada awalnya hanya digunakan untuk menyahkunci peranti.
Tetapi menerusi implementasi FIDO, ia kini boleh digunakan untuk pengesahan Google PassKey dan juga mengisi maklumat peribadi di laman web.
Bagi pengguna pengimbas cap jari Windows Hello, sistem yang disangka selamat selama ini didapati mempunyai beberapa kerentanan.
Firma penyelidikan sekuriti Blackwing Intelligence diminta sendiri oleh Microsoft Offensive Research and Security Engineering (MORSE) untuk mencari sebarang kelemahan pada tiga sistem pengimbas cap jari keluaran Goodix, Synaptics, dan ELAN yang digunakan untuk Windows Hello.
Kerentanan pada sensor Match on Chip (MoC) dan kesilapan tidak menggunakan Secure Device Connection Protocol (SDCP) menyebabkan Windows Hello boleh dipintas.
Dalam kerentanan pertama, serangan Man-in-the-middle (MitM) dilakukan membolehkan pengimbas cap jari milik Blackwing memintas pengimbas cap jari pada peranti.
Ini membolehkan imbasan cap jari bukan pemilik asal digunakan dengan Windows Hello.
Seterusnya mereka mendapati pada dua komputer riba yang diuji, sistem SDCP yang memberikan lapisan keselamatan lebih baik tidak digunakan oleh pengeluar.
Tiga komputer riba yang digunakan oleh Blackwing ialah Dell Inspiron 15, Lenovo ThinkPad T14 dan Surface dengan Microsoft Surface Pro Type Cover dilengkapi pengimbas cap jari.
Penemuan kerentanan ini telahpun dibentangkan oleh Blackwing ketika acara Microsoft Bluehat yang berlangsung bulan lalu.
Selepas melalukan kajian ke atas sistem Windows Hello, Blackwing kini akan melakukan kajian yang sama ke atas sistem imbasan cap jari pada peranti Linux, Apple dan Android.
-amanz.my
No comments:
Post a Comment