باحثون أمنيون يتجاوزون مصادقة مايكروسوفت Windows Hello

اكتشف باحثو الأمن في Blackwing Intelligence عدة ثغرات أمنية في أجهزة استشعار بصمات الأصابع المضمنة في حواسيب دل ولينوفو ومايكروسوفت المحمولة التي تستخدمها الشركات على نطاق واسع من أجل تأمين الحواسيب المحمولة باستخدام مصادقة بصمة الإصبع Windows Hello.

وطلبت إدارة الأبحاث الهجومية وهندسة الأمن التابعة لعملاقة البرمجيات من شركة Blackwing Intelligence تقييم أمان أجهزة استشعار بصمات الأصابع.

وقدم الباحثون النتائج التي توصلوا إليها في عرض تقديمي في شهر أكتوبر خلال مؤتمر BlueHat التابع لشركة مايكروسوفت، إذ حدد الفريق أجهزة استشعار بصمات الأصابع الشائعة من Goodix و Synaptics و ELAN بصفتها أهدافًا من أجل الأبحاث.

وأوضح الباحثون بالتفصيل العملية المتعمقة لبناء جهاز USB يمكنه تنفيذ هجوم MitM، إذ وقعت أجهزة Inspiron 15 من دل و ThinkPad T14 من لينوفو و Surface Pro X من مايكروسوفت ضحية لهجمات قارئ بصمات الأصابع.

وسمح هذا الأمر للباحثين بتجاوز حماية Windows Hello طالما كان شخص ما يستخدم سابقًا مصادقة بصمات الأصابع عبر الجهاز.

وأجرى باحثو Blackwing Intelligence هندسة عكسية لكل من البرامج والأجهزة، واكتشفوا عيوبًا في تنفيذ التشفير في بروتوكول التشفير TLS مخصص عبر مستشعر Synaptics.

وتتضمن العملية المعقدة من أجل تجاوز Windows Hello أيضًا فك تشفير البروتوكولات الخاصة وإعادة تنفيذها.

ويستخدم مالكو الحواسيب المحمولة العاملة بنظام التشغيل ويندوز مستشعرات بصمات الأصابع على نطاق واسع، وذلك بفضل توجه مايكروسوفت نحو Windows Hello ومستقبل دون كلمة مرور.

وكشفت مايكروسوفت قبل ثلاث سنوات أن نحو 85 في المئة من المستهلكين يستخدمون Windows Hello لتسجيل الدخول إلى أجهزة ويندوز 10 بدلًا من استخدام كلمة المرور.

يشار إلى أن هذه ليست المرة الأولى التي تفشل فيها المصادقة المستندة إلى القياسات الحيوية لميزة Windows Hello.

واضطرت مايكروسوفت في عام 2021 إلى إصلاح ثغرة أمنية سمحت بتجاوز مصادقة Windows Hello عبر التقاط صورة بالأشعة تحت الحمراء للضحية من أجل محاكاة ميزة تعرف الوجه في Windows Hello.

وليس من الواضح إذا كانت مايكروسوفت قادرة على إصلاح هذه العيوب بمفردها. وكتب باحثو الأمن في التقرير المتعمق: “صممت مايكروسوفت بروتوكول اتصال الأجهزة الآمنة بشكل جيد من أجل توفير قناة آمنة بين المضيف وأجهزة القياسات الحيوية، مع أن الشركات المصنعة للأجهزة تسيء فهم بعض الأهداف”.

ووجد الباحثون أن بروتوكول اتصال الأجهزة الآمنة من مايكروسوفت غير مفعل عبر أجهزة دل ولينوفو التي استهدفوها.

وتوصي Blackwing Intelligence الآن بأن يتأكد مصنعو الأجهزة من تمكين بروتوكول اتصال الأجهزة الآمنة والتأكد من مراجعة خبير مؤهل لعملية تنفيذ مستشعر بصمة الإصبع.

مقالات قد تهمك

هذا الكمبيوتر المحمول HP 17 “(64 جيجا بايت ذاكرة الوصول العشوائي ، 2 تيرابايت SSD) مجاني تقريبًا ، ويقوم أمازون بخصم 75 ٪ ويضيف 400 دولار في مكافآت مجانية

قيمة مقابل لقمة العيش: مطور GTA 5 السابق يكشف لماذا MindsEye بـ 60 دولاراً فقط!

مقطورة “لعبة الحبار الكاملة” للموسم 3 تثير نهاية برية وعنيفة

كاسبرسكي تكشف عن توجهات الأمن السيبراني في الشرق الأوسط لعام 2025

كاسبرسكي ترصد “GriffithRAT”.. برمجية خبيثة متطورة تستهدف القطاع المالي عالميًا

كاسبرسكي: ارتفاع هجمات الأجهزة المحمولة في الشرق الأوسط خلال الربع الأول من 2025

عصر جديد من الهجمات السيبرانية.. قراصنة يستخدمون الذكاء الاصطناعي لنشر برمجيات تجسس عبر منصة تيك توك

الإمارات تُرسي معايير عالمية.. إطلاق أول إرشادات وطنية لأمن الطائرات المسيّرة

كيف يمكن أن تُستخدم أدوات توليد مقاطع الفيديو بالذكاء الاصطناعي لاختراق حاسوبك؟

Google Drive أو iCloud أو OneDrive: ما هي التخزين السحابي الأكثر خصوصية وآمنة؟

“جيسيك جلوبال 2025” يحقق 11 رقمًا قياسيًا جديدًا في موسوعة غينيس

“جيسيك جلوبال 2025”.. إطلاق مسار متخصص لأمن البنية التحتية الحيوية

كيفية تسجيل مقاطع فيديو محمية بدون شاشة سوداء

سامسونج جالكسي S25: الأخبار والسعر المتوقع وتاريخ الإصدار والمزيد

كل ما تريد معرفته عن Reacher الموسم الثالث

Samsung Galaxy Watch 7: الأخبار والسعر المشاع وتاريخ الإصدار والمزيد

4 مزايا بطاريات السيليكون الكربونية للهواتف الذكية

هل يستمع هاتفك سراً؟ إليك طريقة بسيطة لمعرفة ذلك

يحصل iPhone على أول تطبيق إباحي أصلي له

تكلفة تصميم تطبيقات الجوال في 2025 دليل شامل لاصحاب المشاريع

رائج الآن