Αν διαθέτετε φορητό υπολογιστή με Windows που υποστηρίζει τη χρήση δακτυλικών αποτυπωμάτων, τότε γνωρίζετε για τη λειτουργία Windows Hello.
![Windows Hello ευπάθεια](https://www.secnews.gr/wp-content/uploads/cwv-webp-images/2023/11/Windows-Hello-ευπάθεια-4-1024x576.png.webp)
Πρόκειται για μια βιομετρική σύνδεση που σας επιτρέπει να χρησιμοποιείτε σάρωση προσώπου, ίριδας ή δακτυλικών αποτυπωμάτων. Αν χρησιμοποιείτε τη σάρωση δακτυλικών αποτυπωμάτων στον φορητό υπολογιστή σας της Microsoft, πρέπει να είστε ενήμεροι ότι οι ερευνητές έχουν παρακάμψει τον έλεγχο ταυτότητας δακτυλικών αποτυπωμάτων της Windows Hello της Microsoft.
Δείτε περισσότερα: Microsoft: Ανακοίνωσε πρόγραμμα bug bounty για το Defender
Οι ερευνητές της εταιρείας κυβερνοασφάλειας Blackwing Intelligence κατάφεραν να παρακάμψουν τη λειτουργία του Windows Hello σε τρεις φορητούς υπολογιστές από τις εταιρείες Dell, Lenovo ακόμα και από τη Microsoft. Κατά την παρουσίασή τους στο συνέδριο BlueHat της Microsoft στο Redmond της Ουάσιγκτον, ο Jesse D’Aguanno και ο Timo Teräs εξήγησαν, πώς κατάφεραν να παρακάμψουν τον έλεγχο ταυτότητας με τη χρήση δακτυλικών αποτυπωμάτων. Οι φορητοί υπολογιστές που χρησιμοποιήθηκαν κατά τη διάρκεια της επίδειξης ήταν τα Dell Inspiron 15, Lenovo ThinkPad T14s και το Microsoft Surface Pro Type Cover με Fingerprint ID για το Surface Pro 8/X.
Αυτό αποτελεί σοβαρή ευπάθεια, καθώς παρακάμπτοντας τον έλεγχο ταυτότητας με δακτυλικά αποτυπώματα του Windows Hello, οι ερευνητές μπόρεσαν να αποκτήσουν πρόσβαση σε λογαριασμούς χρηστών και δεδομένα χρηστών σαν να ήταν οι πραγματικοί χρήστες. Επιπλέον, η ευπάθεια εντοπίστηκε σε αισθητήρες δακτυλικών αποτυπωμάτων των Goodix, Synaptics και ELAN, αντίστοιχα, πράγμα που σημαίνει ότι το ζήτημα ασφαλείας δεν περιορίζεται σε συγκεκριμένο κατασκευαστή σαρωτή δακτυλικών αποτυπωμάτων ή OEM φορητού υπολογιστή.
Σε πρόσφατη ανακοίνωση, η ομάδα ερευνητών περιέγραψε μια λεπτομερή διαδικασία κατασκευής μιας συσκευής USB που μπορεί να εκτελέσει μια επίθεση man-in-the-middle (MitM). Αυτό είναι ένα πολύ σοβαρό ζήτημα, καθώς μπορεί να επιτρέψει πρόσβαση σε οποιονδήποτε μέσω μιας συσκευής χωρίς επίβλεψη. Παρά την παράκαμψη του ελέγχου ταυτότητας του Windows Hello με δακτυλικά αποτυπώματα, η διαδικασία περιλάμβανε αποκωδικοποίηση και επαναεφαρμογή ιδιόκτητων πρωτοκόλλων.
![Windows Hello ευπάθεια](https://www.secnews.gr/wp-content/uploads/cwv-webp-images/2023/11/Windows-Hello-ευπάθεια-1024x576.png.webp)
Η απειλή για την ασφάλεια είναι ακόμη πιο σοβαρή, καθώς πριν από τρία χρόνια η Microsoft αποκάλυψε ότι περισσότερο από το 85% των χρηστών χρησιμοποιούσε το Windows Hello για σύνδεση.
Δείτε περισσότερα: Fortinet: Προειδοποιεί για κρίσιμη ευπάθεια στο FortiSIEM
Πηγή: sammobile.com