研究人员已成功绕过戴尔、联想和微软笔记本电脑上的 Windows Hello,突出显示了指纹扫描技术中的漏洞。
这些笔记本电脑上的指纹传感器使用“芯片匹配”技术在自己的微处理器上执行生物识别验证,但这并不能本质上防止欺攻击。
微软的安全设备保护协议(SDCP)旨在解决这些漏洞,但研究人员发现,包括联想ThinkPad T14s和微软Surface Type Cover在内的一些笔记本电脑根本没有利用SDCP,这使得它们更容易受到攻击。
如果您有一台Windows 笔记本电脑,那么您可能遇到过 Windows Hello。这是一种生物识别登录,在受支持的笔记本电脑上,允许用户通过面部扫描、虹膜扫描或指纹扫描进行登录。不过,在使用指纹进入笔记本电脑的情况下,请注意:Blackwing 总部的研究人员已经在戴尔、联想和微软的三款不同笔记本电脑上绕过了 Windows Hello。
在华盛顿州雷德蒙德举行的 Microsoft BlueHat 会议上,Jesse D'Aguanno 和 Timo Teräs演示了他们如何在 Dell Inspiron 15、Lenovo ThinkPad T14s 和带有指纹 ID 的 Microsoft Surface Pro Type Cover(适用于 Surface Pro)上成功绕过 Windows Hello 8/X)。这意味着他们能够像普通用户一样访问用户帐户和用户数据。此外,这三款设备上使用的传感器分别来自 Goodix、Synaptics 和 ELAN,这意味着这些漏洞不仅限于一家指纹扫描仪制造商或笔记本电脑 OEM。
