Vi dicu tutti i difetti in Windows Hello di Microsoft
U sistema di sicurezza Windows Hello basatu in impronte digitali di Microsoft hè statu minatu di novu. Questa hè a seconda volta chì questu hè accadutu da u 2021. Hè megliu di vultà à e vecchie password?
Quelli chì pensavanu chì l'autentificazione per via di dati biometrici era u più sicuru è infine li permettenu di abbandunà u ingombrante sistema di password (chì deve esse diversu, cambiatu periodicamente è, ovviamente, ricurdatu) è a password cumminata è pin (stessi prublemi) avà. restanu disappuntu da l'ultimu rapportu di i ricercatori di Blackwing Intelligence, incaricati da Microsoft Offensive Research and Security Engineering (MORSE) di valutà a sicurità di i sensori di impronte digitali. Ebbè, Windows Hello ùn hè micca esce assai bè.
U WINDOWS HELLO FLAW
L'autenticazione di l'impronta digitale di Windows Hello di Microsoft hè stata difatti ignorata nantu à Dell, Lenovo è, pare impussibile, ancu i laptops Microsoft. In i so testi, l'esperti in cibersecurità piratevanu un Dell Inspiron 15, un Lenovo ThinkPad T14 è un Microsoft Surface Pro.
In breve, sbloccate u latch di u scanner è sguassate a prutezzione di Windows Hello, sempre chì – hè sottolineatu – chì qualchissia hà utilizatu prima l'autentificazione di l'impronta digitale in un dispositivu. Un limitu chì ovviamente ùn hè micca un tali limitu, datu chì hè più faciule per un attaccu per penetrà in un dispositivu utilizatu per arrubbari dati piuttostu cà un novu da a fabbrica. I ricercatori di Blackwing Intelligence anu spiegatu chì anu ingegneria inversa sia u software sia l'hardware, scoprendu simultaneamente i difetti di implementazione criptografica in un TLS persunalizatu nantu à u sensoru Synaptics, cù a decodificazione è a reimplementazione di protokolli privati.
DI CHI HA COPPA ?
"Microsoft hà fattu un bonu travagliu cuncependu u Protocolu di Connessione di Dispositivi Sicuri (SDCP) per furnisce un canale sicuru trà l'ospiti è i dispositi biometrici, ma sfurtunatamenti i pruduttori di i dispositi parevanu avè malintendu alcuni di i scopi", leghje u rapportu di Jesse D'Aguanno. è Timo Teräs, circadori di Blackwing Intelligence. "Inoltre, SDCP copre solu un scopu assai ristrettu di l'operazione di un dispositivu tipicu, mentre chì a maiò parte di i dispositi anu una superficia d'attaccu esposta significativa chì ùn hè micca coperta da SDCP in tuttu".
I ricercatori anu truvatu chì a prutezzione SDCP di Microsoft ùn era micca attivata nantu à dui di i trè dispositi destinati. Blackwing Intelligence raccomanda chì i OEM assicuranu chì SDCP hè attivatu è chì l'implementazione di u sensore di impronte digitali hè verificata da un espertu qualificatu.
U PRECEDENT PER 2021
A rivista specializata The Verge indica chì ùn hè micca a prima volta chì l'autentificazione basata nantu à a biometria di Windows Hello hè stata scunfitta. Microsoft hè stata custretta à patch una vulnerabilità di autenticazione di Windows Hello in 2021, dopu una prova di cuncettu chì implicava catturà una maghjina infrarossa di una vittima per falsificà a funzione di ricunniscenza faciale di Windows Hello.
CHE CONCLUSIONE ?
Naturalmente, studii simili sò più utili à quelli chì sviluppanu software è pruduce hardware chì à l'utilizatori individuali. Questu hè chì i primi anu da aumentà continuamente i so sforzi difensivi, mentri l'ultimi ùn sò micca sempre esposti à minacce concrete. In questu casu, per esempiu, per minà u sistema di securità hè bisognu di u travagliu di un pirate espertu. Una considerazione chì ùn hà micca à rallegra tutti.
Ancu perchè Blackwing Intelligence hè digià travagliatu per studià attacchi di corruzzione di memoria nantu à u firmware di u sensoru è ancu a sicurità di u sensoru di l'impronta digitale in i dispositi Linux, Android è Apple. In cortu, a lotta eterna trà i custruttori di serratura è i ladri chì seguita l'omu dapoi l'alba di a storia cuntinueghja.
Questa hè una traduzzione automatica da a lingua italiana di un post publicatu in StartMag à l’URL https://www.startmag.it/innovazione/vi-racconto-tutte-le-falle-di-windows-hello-di-microsoft/ u Fri, 24 Nov 2023 07:38:56 +0000.