Windows Hello 指纹认证可被绕过

安全研究人员发现微软 Windows Hello 指纹认证可被绕过

微软的 Windows Hello 指纹认证在戴尔、联想甚至微软的笔记本电脑上可被绕过。安全研究人员发现了三款最受欢迎的指纹传感器的多个漏洞，这些传感器被企业广泛用于通过 Windows Hello 指纹身份验证保护笔记本电脑。

微软邀请安全研究人员评估指纹传感器的安全性，研究人员在 10 月份的微软 BlueHat 会议上展示了他们的研究成果。该团队选择了来自 Goodix、Synaptics 和 ELAN 的三款流行的指纹传感器作为研究对象，并在博客文章中详细介绍了构建一个可以执行中间人攻击 (MitM) 的 USB 设备的过程。这种攻击可以提供对被盗笔记本电脑的访问，甚至对无人看管的设备进行“Evil Maid”攻击。

戴尔 Inspiron 15、联想 ThinkPad T14 和微软 Surface Pro X 都是指纹识别攻击的受害者，只要有人以前在设备上使用过指纹身份验证，研究人员就可以绕过 Windows Hello 保护。研究人员对软件和硬件进行了逆向工程，发现了 Synaptics 传感器上一个自定义 TLS 的加密实现缺陷。绕过 Windows Hello 的复杂过程还涉及到解码和重新实现专有协议。

—— Theverge、Blackwing Intelligence