باحثون أمنيون يتجاوزون مصادقة مايكروسوفت Windows Hello

اكتشف باحثو الأمن في Blackwing Intelligence عدة ثغرات أمنية في أجهزة استشعار بصمات الأصابع المضمنة في حواسيب دل ولينوفو ومايكروسوفت المحمولة التي تستخدمها الشركات على نطاق واسع من أجل تأمين الحواسيب المحمولة باستخدام مصادقة بصمة الإصبع Windows Hello.

وطلبت إدارة الأبحاث الهجومية وهندسة الأمن التابعة لعملاقة البرمجيات من شركة Blackwing Intelligence تقييم أمان أجهزة استشعار بصمات الأصابع.

وقدم الباحثون النتائج التي توصلوا إليها في عرض تقديمي في شهر أكتوبر خلال مؤتمر BlueHat التابع لشركة مايكروسوفت، إذ حدد الفريق أجهزة استشعار بصمات الأصابع الشائعة من Goodix و Synaptics و ELAN بصفتها أهدافًا من أجل الأبحاث.

وأوضح الباحثون بالتفصيل العملية المتعمقة لبناء جهاز USB يمكنه تنفيذ هجوم MitM، إذ وقعت أجهزة Inspiron 15 من دل و ThinkPad T14 من لينوفو و Surface Pro X من مايكروسوفت ضحية لهجمات قارئ بصمات الأصابع.

وسمح هذا الأمر للباحثين بتجاوز حماية Windows Hello طالما كان شخص ما يستخدم سابقًا مصادقة بصمات الأصابع عبر الجهاز.

وأجرى باحثو Blackwing Intelligence هندسة عكسية لكل من البرامج والأجهزة، واكتشفوا عيوبًا في تنفيذ التشفير في بروتوكول التشفير TLS مخصص عبر مستشعر Synaptics.

وتتضمن العملية المعقدة من أجل تجاوز Windows Hello أيضًا فك تشفير البروتوكولات الخاصة وإعادة تنفيذها.

ويستخدم مالكو الحواسيب المحمولة العاملة بنظام التشغيل ويندوز مستشعرات بصمات الأصابع على نطاق واسع، وذلك بفضل توجه مايكروسوفت نحو Windows Hello ومستقبل دون كلمة مرور.

وكشفت مايكروسوفت قبل ثلاث سنوات أن نحو 85 في المئة من المستهلكين يستخدمون Windows Hello لتسجيل الدخول إلى أجهزة ويندوز 10 بدلًا من استخدام كلمة المرور.

يشار إلى أن هذه ليست المرة الأولى التي تفشل فيها المصادقة المستندة إلى القياسات الحيوية لميزة Windows Hello.

واضطرت مايكروسوفت في عام 2021 إلى إصلاح ثغرة أمنية سمحت بتجاوز مصادقة Windows Hello عبر التقاط صورة بالأشعة تحت الحمراء للضحية من أجل محاكاة ميزة تعرف الوجه في Windows Hello.

وليس من الواضح إذا كانت مايكروسوفت قادرة على إصلاح هذه العيوب بمفردها. وكتب باحثو الأمن في التقرير المتعمق: “صممت مايكروسوفت بروتوكول اتصال الأجهزة الآمنة بشكل جيد من أجل توفير قناة آمنة بين المضيف وأجهزة القياسات الحيوية، مع أن الشركات المصنعة للأجهزة تسيء فهم بعض الأهداف”.

ووجد الباحثون أن بروتوكول اتصال الأجهزة الآمنة من مايكروسوفت غير مفعل عبر أجهزة دل ولينوفو التي استهدفوها.

وتوصي Blackwing Intelligence الآن بأن يتأكد مصنعو الأجهزة من تمكين بروتوكول اتصال الأجهزة الآمنة والتأكد من مراجعة خبير مؤهل لعملية تنفيذ مستشعر بصمة الإصبع.

مقالات قد تهمك

أفضل مواقع الربح من الإنترنت بدون رأس مال 2026 (دليل علمي مجرب)

أقوى ترندات التكنولوجيا في 2026: ماذا ينتظر العالم الرقمي؟

كيف تربح من ChatGPT في عام 2026: طرق عملية للمبتدئين والمحترفين

تبدو عمليات الاحتيال المتعلقة بحركة مرور رمز الاستجابة السريعة ذكية، ولكنها مثيرة للقلق العميق

أفضل VPN مجاني وآمن للاستخدام في 2026: الدليل الشامل والمقارنة النهائية

فليب بورد تطلق Surf.. منصة جديدة لتصفح الإنترنت بعيدًا عن الخوارزميات

عطل في أوتلوك يربك طاقم ناسا خلال رحلته إلى القمر

تسريب جديد يكشف أسرار Claude ويسبب إحراجًا لأنثروبيك

يسرق هجوم الذكاء الاصطناعي الجديد النماذج دون لمس النظام

روسيا تدفع بتطبيق Max كبديل شامل للمنصات الغربية

جوجل تطلق ميزة “البحث الحي” في الدول العربية.. محادثات صوتية وبصرية فورية

خطأ ترميزي بسيط هو الكشف عن مفاتيح واجهة برمجة التطبيقات (API) عبر آلاف مواقع الويب

مقارنة بين Samsung Galaxy Z Fold 6 و Galaxy S24 Ultra: لا تخطئ

يحصل iPhone على أول تطبيق إباحي أصلي له

سامسونج جالكسي S25: الأخبار والسعر المتوقع وتاريخ الإصدار والمزيد

كل ما تريد معرفته عن Reacher الموسم الثالث

Samsung Galaxy Watch 7: الأخبار والسعر المشاع وتاريخ الإصدار والمزيد

تحديث eFootball v5.0.1 أصبح متاح الان، اليكم خصائصه..

eFootball 2026: تغييرات ضخمة ومميزات غير مسبوقة لعشاق كرة القدم

أفضل أدوات الذكاء الاصطناعي لتصميم الصور والفيديو بدون خبرة

رائج الآن