Биометрия обмана: найден способ обхода системы аутентификации в ведущих брендах ноутбуков

ИБ-компания Blackwing Intelligence обнаружила несколько уязвимостей, позволяющих обойти аутентификацию Windows Hello на ноутбуках Dell Inspiron 15, Lenovo ThinkPad T14 и Microsoft Surface Pro X. Ответственными за это являются датчики отпечатков пальцев от Goodix, Synaptics и ELAN, встроенные в устройства.

Все три типа датчиков отпечатков пальцев работают по принципу «match on chip» (MoC), интегрируя функции сопоставления и другие биометрические управления непосредственно в интегральную схему датчика. То есть вся информация об отпечатках пальцев обрабатывается и хранится на самом датчике, а не передается на внешний процессор или хранилище.

Однако MoC не предотвращает атаки типа «противник посередине» (Adversary-in-The-Middle, AitM-атака), позволяя злоумышленнику имитировать легитимное общение сенсора с хостом и ложно утверждать об успешной аутентификации авторизованного пользователя.

Обязательным условием для использования считывателя отпечатков пальцев является то, что у пользователей целевых ноутбуков уже настроена аутентификация по отпечаткам пальцев.

Blackwing Intelligence выявила, что датчик ELAN уязвим из-за отсутствия поддержки протокола безопасного подключения устройств ( Secure Device Connection Protocol, SDCP ) от Microsoft и передачи идентификаторов безопасности в открытом виде, что позволяет любому USB-устройству маскироваться под датчик отпечатков пальцев.

В случае с Synaptics проблема заключается в том, что SDCP по умолчанию отключен, а для защиты USB-соединений между драйвером хоста и датчиком, который можно использовать для обхода биометрической аутентификации, используется ненадежный пользовательский стек TLS.

Для эксплуатации уязвимости датчика Goodix киберпреступник может использовать различия в процессах регистрации отпечатков в Windows и Linux (Linux не поддерживает SDCP). Это позволяет записать отпечаток злоумышленника в базу данных Linux, а затем использовать его для входа в систему Windows как легитимный пользователь.

Стоит отметить, что, хотя датчик Goodix имеет отдельные базы данных шаблонов отпечатков пальцев для систем Windows и не-Windows, атака возможна из-за того, что драйвер хоста отправляет датчику не прошедший проверку подлинности пакет конфигурации, чтобы указать, какую базу данных использовать во время инициализации датчика.

Рекомендуется, чтобы производители оборудования включали SDCP и обеспечивали аудит реализации датчиков отпечатков пальцев независимыми экспертами. Это не первый случай успешного обхода биометрической аутентификации Windows Hello. В июле 2021 года Microsoft выпустила исправления для уязвимости CVE-2021-34466 (CVSS: 6.1), которая позволяла обмануть систему аутентификации с помощью инфракрасного изображения.