Istraživači su se uspjeli probiti kroz skeniranje otisaka prstiju Windows Helloa, ali to nije tako strašno kao što se na prvi pogled misli.
Prijava na Windows prijenosno računalo sa skenerom otiska prsta je jednostavna; samo stavite prst na skener i operativni sustav vas pušta unutra. Međutim, istraživači su pokazali da, iako je ova metoda praktična, nije otporna na hakiranje.
Dakle, kako ljudi mogu provaliti skeniranje otiska prsta Windows Hello i trebate li se brinuti zbog toga?
Mogu li ljudi hakirati Windows Hello skenere otiska prsta?
Ako haker želi zaobići skener otiska prsta na računalu sa sustavom Windows, želi proći pored usluge koja se zove Windows Hello. Ova usluga upravlja načinom na koji se prijavljujete u Windows, kao što su PIN-ovi, skeniranje lica i skeniranje otiska prsta.
Kao dio istraživanja snage Windows Hello, dva hakeri s bijelim šeširom, Jesse D'Aguanno i Timo Teräs, objavili su izvješće na svojoj web stranici, Sjedište Blackwinga. Izvješće opisuje kako su probili tri popularna uređaja: Dell Inspiron 15, Lenovo ThinkPad T14 i Microsoft Surface Pro Type Cover.
Kako su hakeri provalili u Windows Hello na Dell Inspironu 15
Za Dell Inspiron 15, hakeri su primijetili da se može pokrenuti Linux na prijenosnom računalu. Nakon što se prijave u Linux, mogu registrirati svoje otiske prstiju u sustavu i dati mu isti ID kao Windows korisnik na kojeg se žele prijaviti.
Zatim izvode napad čovjeka u sredini na vezu između računala i senzora. Postavili su to tako da kada Windows ponovno provjeri je li skenirani otisak prsta legitiman, završi provjerom baze podataka otisaka prstiju Linuxa umjesto vlastite.
Kako bi izbjegli Windows Hello, hakeri su učitali svoje otiske prstiju u bazu podataka Linuxa, dodijelili joj isti ID kao i korisnik na Windowsima, a zatim su se pokušali prijaviti u Windows s njihovim otiscima prstiju. Tijekom procesa provjere autentičnosti, preusmjerili su paket u Linux bazu podataka, koja je Windowsu rekla da je korisnik na navedenom ID-u spreman za prijavu.
Kako su hakeri provalili u Windows Hello na Lenovo ThinkPad T14
Za Lenovo ThinkPad, hakeri su otkrili da prijenosno računalo koristi prilagođenu metodu šifriranja za provjeru otisaka prstiju. Uz malo rada, hakeri su ga uspjeli dešifrirati, što im je omogućilo pristup procesu provjere otiska prsta.
Nakon što to urade, hakeri bi mogli prisiliti bazu podataka otisaka prstiju da prihvati njihov otisak kao korisnikov. Zatim su sve što su trebali učiniti bilo skenirati otisak prsta kako bi pristupili Lenovo ThinkPadu.
Kako su hakeri provalili u Windows Hello na Microsoft Surface Pro Type Coveru
Hakeri su vjerovali da će Surface Pro biti najteži uređaj za provaliti, ali su bili iznenađeni kada su otkrili da Surface Pro nema puno sigurnosnih mjera za provjeru valjanih otisaka prstiju. Zapravo, otkrili su da su morali izbjeći samo jednu obranu, zatim reći Surface Pro da je skeniranje otiska prsta uspješno i uređaj ih je pustio unutra.
Što ovi hakovi znače za vas?
Ovi hakovi mogu zvučati prilično zastrašujuće ako koristite otiske prstiju za prijavu na prijenosno računalo. Međutim, bitno je upamtiti neke ključne stvari prije nego što u potpunosti odustanete od skeniranja otiska prsta.
1. Napade su izveli vješti hakeri
Razlog prijeti poput ransomware kao usluga su toliko smrtonosni da ih može koristiti svatko s minimalnom kibersigurnošću. Međutim, gornji hakovi zahtijevaju visoku razinu stručnosti, uz duboko razumijevanje načina na koji uređaji autentificiraju otiske prstiju i kako ih izbjeći.
2. Napadi zahtijevaju od napadača fizičku interakciju s uređajem
Hakeri moraju imati fizički kontakt s uređajem kako bi izvršili gore navedena hakiranja. U izvješću su hakeri izjavili da bi mogli stvoriti USB uređaje koji mogu izvesti napad jednom priključen, ali to znači da potencijalni napadač treba uključiti nešto u vaše računalo kako bi hakirajte ga.
3. Napadi rade samo na određenim uređajima
Primijetit ćete da je svaki napad morao krenuti drugim putem kako bi postigao isti cilj. Svaki je uređaj jedinstven i hack koji radi na jednom uređaju možda neće raditi na drugom. Kao takav, ne biste trebali vjerovati da je Windows Hello sada širom otvoren na svakom uređaju; samo su ova tri propala.
Iako ovi hakovi mogu zvučati zastrašujuće, bit će ih izazovno izvesti protiv stvarnih ciljeva. Haker će vjerojatno morati ukrasti uređaj kako bi izvršio ova hakiranja, što bi nedvojbeno upozorilo prethodnog vlasnika.
Kako se zaštititi od hakiranja otisaka prstiju
Kao što je gore navedeno, otkrivena hakiranja komplicirana su za izvođenje i mogu zahtijevati da haker ukloni uređaj kako bi ga fizički hakirao. Kao takvi, postoji izuzetno mala vjerojatnost da će ti napadi ciljati vas osobno.
Međutim, ako i dalje niste zadovoljni, postoje neki načini da se zaštitite od hakiranja skenera otiska prsta:
1. Ne ostavljajte uređaje bez nadzora i zaštite
Budući da će haker morati fizički komunicirati s vašim uređajem, trebali biste se pobrinuti da ne padne u pogrešne ruke. Za računala, možete poduzmite korake da spriječite njegovu krađu. Ako koristite prijenosno računalo, nikada ga ne ostavljajte samog na javnom mjestu i koristite torba za laptop protiv krađe spriječiti ljude da ti rastrgaju torbu.
2. Koristite drugu metodu prijave
Windows Hello podržava mnoge različite metode prijave, neke sigurnije od drugih. Ako ste se odljubili od skeniranja otisaka prstiju, provjerite jeste li prijave lica, šarenice, otiska prsta, PIN-a ili lozinke su sigurnije, i odaberite onaj koji vam najviše odgovara.
