חוקרים הצליחו לפרוץ את סריקות טביעות האצבע של Windows Hello, אבל זה לא מפחיד כמו שאתה חושב תחילה.
קל להיכנס למחשב נייד של Windows עם סורק טביעות אצבע; פשוט הנח את האצבע על סורק, ומערכת ההפעלה מאפשרת לך להיכנס. עם זאת, חוקרים הראו שלמרות ששיטה זו נוחה, היא אינה חסינת פריצה.
אז איך אנשים יכולים לפרוץ מעבר לסריקת טביעת אצבע של Windows Hello, והאם אתה צריך לדאוג בקשר לזה?
האם אנשים יכולים לפרוץ סורקי טביעות אצבע של Windows Hello?
אם האקר רוצה לעקוף סורק טביעות אצבע במחשב Windows, הם שואפים לעבור שירות שנקרא Windows Hello. שירות זה מטפל באופן שבו אתה נכנס ל-Windows, כגון PIN, סריקות פנים וסריקות טביעות אצבע.
כחלק ממחקר על החוזק של Windows Hello, שניים האקרים עם כובע לבן, ג'סי ד'אגואנו וטימו טרס, פרסמו דיווח באתר האינטרנט שלהם, מטה בלאקווינג. הדו"ח מפרט כיצד הם פרצו שלושה מכשירים פופולריים: Dell Inspiron 15, Lenovo ThinkPad T14 וכיסוי Microsoft Surface Pro Type.
כיצד הפרו ההאקרים את Windows Hello ב-Dell Inspiron 15
עבור Dell Inspiron 15, ההאקרים שמו לב שהם יכולים לאתחל לתוך לינוקס במחשב הנייד. לאחר הכניסה ללינוקס, הם יכולים לרשום את טביעות האצבע שלהם במערכת ולתת לה את אותו מזהה כמו משתמש Windows שאליו הם רוצים להיכנס.
לאחר מכן, הם מבצעים התקפת איש-באמצע על החיבור בין המחשב האישי לחיישן. הם הגדירו את זה כך שכאשר Windows הולך לבדוק פעמיים שטביעת אצבע סרוקה היא לגיטימית, זה בסופו של דבר בודק את מסד הנתונים של לינוקס של טביעות אצבע במקום שלו.
כדי להתחמק מ-Windows Hello, ההאקרים העלו את טביעות האצבע שלהם למסד הנתונים של לינוקס, הקצו לו את אותו מזהה כמו המשתמש ב-Windows, ואז ניסו להיכנס ל-Windows עם טביעות האצבע שלהם. במהלך תהליך האימות, הם הפנו את החבילה למסד הנתונים של לינוקס, שאמר ל-Windows שהמשתמש במזהה שצוין מוכן להתחבר.
איך ההאקרים פרצו את Windows Hello ב-Lenovo ThinkPad T14
עבור Lenovo ThinkPad, ההאקרים גילו שהמחשב הנייד השתמש בשיטת הצפנה מותאמת אישית כדי לאמת טביעות אצבע. עם קצת עבודה, ההאקרים הצליחו לפענח אותו, ונתן להם דרך לתהליך אימות טביעת האצבע.
לאחר שסיימו, ההאקרים יכלו לאלץ את מסד הנתונים של טביעות האצבע לקבל את טביעת האצבע שלהם כטביעת האצבע של המשתמש. לאחר מכן, כל מה שהם היו צריכים לעשות זה לסרוק את טביעת האצבע שלהם כדי לגשת ל-Lenovo ThinkPad.
כיצד הפרו האקרים את Windows Hello בכיסוי Microsoft Surface Pro Type
ההאקרים האמינו שה-Surface Pro יהיה המכשיר הקשה ביותר לפיצוח, אבל הם הופתעו לגלות של-Surface Pro חסרים הרבה אמצעי אבטחה לבדיקת טביעות אצבע תקפות. למעשה, הם גילו שעליהם להתחמק רק מהגנה אחת, ואז לספר ל-Surface Pro שסריקת טביעת האצבע הצליחה, והמכשיר נתן להם להיכנס.
מה המשמעות של פריצות אלו עבורך?
פריצות אלה עשויות להישמע די מפחידות אם אתה משתמש בטביעות אצבע כדי להיכנס למחשב הנייד שלך. עם זאת, חיוני לזכור כמה דברים חיוניים לפני שאתה מוותר לחלוטין על סריקות טביעות אצבע.
1. ההתקפות בוצעו על ידי האקרים מיומנים
הסיבה לאיומים כמו תוכנת כופר כשירות הם כל כך קטלניים שכל אחד עם אבטחת סייבר מינימלית יכול להשתמש בהם. עם זאת, הפריצות לעיל דורשות רמה גבוהה של מומחיות, עם הבנה עמוקה של האופן שבו מכשירים מאמתים טביעות אצבע וכיצד להימנע מהן.
2. ההתקפות דורשות מהתוקף אינטראקציה פיזית עם המכשיר
על ההאקרים להיות במגע פיזי עם המכשיר כדי לבצע את הפריצות לעיל. בדוח, ההאקרים הצהירו שהם עשויים להיות מסוגלים ליצור התקני USB שיכולים לבצע את תקיפה לאחר חיבור לחשמל, אבל זה אומר שתוקף פוטנציאלי צריך לחבר משהו למחשב האישי שלך לפרוץ אותו.
3. ההתקפות פועלות רק על מכשירים ספציפיים
תשים לב שכל התקפה הייתה צריכה ללכת בדרך אחרת כדי להשיג את אותה מטרה. כל מכשיר הוא ייחודי, וייתכן שפריצה שעובדת במכשיר אחד לא תעבוד במכשיר אחר. ככזה, אתה לא צריך להאמין ש-Windows Hello נפתח כעת לרווחה בכל מכשיר; רק השלושה האלה נכשלו.
למרות שהפריצות הללו עשויות להישמע מפחידות, הן יהיו מאתגרות לביצוע מול מטרות בפועל. ככל הנראה ההאקר יצטרך לגנוב את המכשיר כדי לבצע פריצות אלו, מה שללא ספק יתריע בפני הבעלים הקודם.
כיצד לשמור על בטיחות מפני פריצת טביעות אצבע
כאמור לעיל, הפריצות שהתגלו הן מסובכות לביצוע ועשויות לדרוש מההאקר להסיר את המכשיר כדי לפרוץ אליו פיזית. ככזה, יש סיכוי נמוך ביותר שהתקפות אלו יתמקדו אליך באופן אישי.
עם זאת, אם אתה עדיין לא מרוצה, יש כמה דרכים להגן על עצמך מפני פריצות לסורקי טביעות אצבע:
1. אין להשאיר מכשירים ללא השגחה וללא הגנה
מכיוון שהאקר יצטרך ליצור אינטראקציה פיזית עם המכשיר שלך, עליך לוודא שהוא לא ייפול לידיים הלא נכונות. עבור מחשבים, אתה יכול לנקוט בצעדים כדי למנוע ממנו להיגנב. אם אתה משתמש במחשב נייד, לעולם אל תשאיר אותו לבד במרחב ציבורי, והשתמש ב- תיק למחשב נייד נגד גניבה כדי למנוע מאנשים לקרוע את התיק שלך.
2. השתמש בשיטת התחברות אחרת
Windows Hello תומך בשיטות התחברות רבות ושונות, חלקן מאובטחות יותר מאחרות. אם התאהבת בסריקות טביעות אצבע, בדוק אם כניסות פנים, קשתית, טביעת אצבע, PIN או סיסמה מאובטחות יותר, ובחר אחד המתאים לך ביותר.