Windows, önde gelen parmak izi sensörlerinin güvenli olmadığı bir güvenlik sorunuyla karşı karşıya olabilir. Araştırmacılar, Dell, Lenovo ve hatta Microsoft’un dizüstü bilgisayarlarında kullanılan parmak izi sensörlerinde güvenlik kusurları tespit etti.
Microsoft’un Windows Hello parmak izi kimlik doğrulama özelliği, Blackwing Intelligence’daki güvenlik araştırmacıları tarafından bypass edildi. Bu güvenlik zaafiyeti, dizüstü bilgisayarlarda yaygın olarak kullanılan ilk üç parmak izi sensöründe tespit edilen birden fazla açıktan kaynaklanıyor.
Güvenlik açığı, işletmeler tarafından dizüstü bilgisayarları korumak için sıkça tercih edilen parmak izi kimlik doğrulamasının temelini oluşturan Windows Hello’nun güvenilirliğini sarsabilir.
Windows Hello’da Güvenlik Zaafiyetleri Ortaya Çıktı
Windows, Dell, Lenovo ve Microsoft tarafından üretilen dizüstü bilgisayarların parmak izi sensörlerindeki güvenlik açıklarına maruz kaldı. Blackwing Intelligence’daki güvenlik araştırmacıları, bu dizüstü bilgisayarların sensörlerindeki kusurlar nedeniyle Windows Hello parmak izi kimlik doğrulamasının kolayca atlatılabileceğini ortaya çıkardı. Bu durum, potansiyel olarak sistemi kötü niyetli aktörlerin kontrolüne bırakabilir.
Çoğu dizüstü bilgisayar markası, Goodix, Synaptics ve ELAN’ın parmak izi sensörlerini kullanıyor ve bu sensörlerin hepsinde güvenlik açıkları olduğu belirlendi.
Araştırmacılar, Dell Inspiron 15, Lenovo ThinkPad T14 ve Microsoft Surface Pro X cihazlarını test etti ve bu cihazların hepsinin güvenlik açıkları nedeniyle savunmasız olduğunu tespit etti. Özellikle, Synaptics sensörünün güvenlik katmanında kusurlar bulundu ve bypass işleminin donanım ve yazılımın tersine mühendislik gerektirdiği ifade edildi. Windows Hello’nun atlanması karmaşık bir süreç olsa da, bu araştırma sonuçları bunun yetenekli bir hacker tarafından başarılabilir olduğunu gösteriyor.
Bu, Windows Hello’nun biyometri tabanlı kimlik doğrulamasının ilk kez aşılabileceği durum değil. Daha önce, kızıl ötesi görüntü kullanılarak yüz tanıma özelliği atlatılabilmişti. Microsoft bu tür güvenlik açıklarını düzeltse de, bu son keşiflerin tamamen düzeltilebilir olup olmadığı belirsiz. Araştırmacılar, Microsoft’un Güvenli Cihaz Bağlantı Protokolü’nü (SDCP) tasarlayarak güvenli bir kanal sağlama çabasını takdir etseler de, test edilen üç cihazdan ikisinde SDCP korumasının etkin olmadığını vurguluyor.
