اخر الاخبار

اكتشاف ثغرات أمنية في أجهزة بصمات الأصابع في حواسيب ديل ولينوفو ومايكروسوفت

 

اكتشاف ثغرات أمنية في أجهزة بصمات الأصابع في حواسيب ديل ولينوفو ومايكروسوفت


أعلن باحثو الأمان في Blackwing Intelligence عن اكتشاف عدة ثغرات أمنية في أجهزة استشعار بصمات الأصابع المدمجة في حواسيب شركات ديل ولينوفو ومايكروسوفت المحمولة. يُستخدم هذه الأجهزة على نطاق واسع لتأمين الحواسيب المحمولة باستخدام ميزة مصادقة بصمة الإصبع Windows Hello.


قامت إدارة الأبحاث الهجومية وهندسة الأمان في Blackwing Intelligence بطلب تقييم أمان أجهزة استشعار بصمات الأصابع. قُدمت النتائج في عرض تقديمي خلال مؤتمر BlueHat التابع لشركة مايكروسوفت في أكتوبر، حيث حدد الفريق أجهزة استشعار بصمات الأصابع الشائعة كأهداف للأبحاث، بما في ذلك Goodix و Synaptics و ELAN.







عرض الباحثون تفاصيل العمليات المعقدة التي قاموا بها لبناء جهاز USB يُمكنه تنفيذ هجوم Man-in-the-Middle (MitM). وقد تأثرت أجهزة Inspiron 15 من ديل وThinkPad T14 من لينوفو وSurface Pro X من مايكروسوفت بهجمات قارئ بصمات الأصابع.


سمحت هذه الثغرات للباحثين بتجاوز حماية Windows Hello، طالما كان الشخص قد استخدم مصادقة بصمات الأصابع عبر الجهاز من قبل. تمت هندسة عكسية لبرامج وأجهزة كل من Synaptics و Goodix، مكتشفين عيوبًا في تنفيذ التشفير في بروتوكول التشفير TLS.


عملية تجاوز Windows Hello تشمل أيضًا فك تشفير البروتوكولات الخاصة وإعادة تنفيذها. يستخدم مالكو الحواسيب المحمولة بنظام Windows مستشعرات بصمات الأصابع على نطاق واسع، وذلك بفضل توجه مايكروسوفت نحو Windows Hello كبديل لكلمات المرور.


وعلى الرغم من أن مايكروسوفت كشفت قبل ثلاث سنوات أن نسبة 85% من المستهلكين يستخدمون Windows Hello لتسجيل الدخول إلى أجهزة Windows 10، فإن هذه ليست المرة الأولى التي يتعذر فيها تحقيق المصادقة القائمة على القياسات الحيوية.


وفي عام 2021، اضطرت مايكروسوفت إلى إصلاح ثغرة أمنية أخرى أتاحت تجاوز مصادقة Windows Hello عبر التقاط صورة بالأشعة تحت الحمراء للضحية. وليس واضحًا ما إذا كانت مايكروسوفت قادرة على إصلاح هذه الثغرات بمفردها.


 تابع موقعنا tech1new.com انضم إلى صفحتنا على فيسبوك و متابعتنا على Twitter ، أو أضف tech1new.com إلى موجز أخبار Google الخاص بك للحصول على تحديثات إخبارية فورية ومراجعات وشروحات تقنية

ليست هناك تعليقات:

إرسال تعليق