Säkerheten med fingeravtrycksläsare på Windows-datorer
Att logga in på en bärbar Windows-dator med hjälp av en fingeravtrycksläsare är smidigt; du placerar bara fingret på skannern och operativsystemet ger dig tillgång. Trots denna bekvämlighet har forskare visat att metoden inte är helt skyddad mot intrång.
Frågan är då, hur lyckas hackare kringgå Windows Hello fingeravtrycksskanning och bör du oroa dig?
Kan man hacka Windows Hello fingeravtrycksläsare?
För att överlista en fingeravtrycksläsare på en Windows-maskin, fokuserar hackare på att ta sig förbi en tjänst som heter Windows Hello. Denna tjänst kontrollerar inloggningen i Windows via olika metoder som PIN-koder, ansiktsskanningar och fingeravtrycksläsningar.
Som en del av undersökningen av Windows Hellos säkerhet, presenterade två etiska hackare, Jesse D’Aguanno och Timo Teräs, en rapport på sin webbplats, Blackwing HQ. I rapporten beskrivs hur de brutit sig in i tre populära enheter: Dell Inspiron 15, Lenovo ThinkPad T14 och Microsoft Surface Pro Type Cover.
Hur hackarna tog sig förbi Windows Hello på Dell Inspiron 15
För Dell Inspiron 15 upptäckte hackarna att de kunde starta upp Linux på den bärbara datorn. När de väl var inloggade i Linux kunde de registrera sina fingeravtryck i systemet och ge dem samma ID som den Windows-användare de ville logga in som.
Sedan genomförde de en man-in-the-middle-attack på anslutningen mellan datorn och sensorn. De manipulerade systemet så att när Windows kontrollerade legitimiteten av ett skannat fingeravtryck, så genomfördes kontrollen istället mot Linux-databasen med fingeravtryck.
För att kringgå Windows Hello, laddade hackarna upp sina fingeravtryck till Linux-databasen och tilldelade det samma ID som användaren i Windows, och försökte sedan logga in på Windows med sina fingeravtryck. Under autentiseringsprocessen omdirigerade de paketet till Linux-databasen, som bekräftade för Windows att användaren med det specifika ID:t var redo att logga in.
Hur hackarna tog sig förbi Windows Hello på Lenovo ThinkPad T14
På Lenovo ThinkPad upptäckte hackarna att den bärbara datorn använde en unik krypteringsmetod för att verifiera fingeravtryck. Efter en tids arbete lyckades hackarna dekryptera detta, vilket gav dem tillträde till fingeravtrycksverifieringsprocessen.
Med detta på plats kunde hackarna tvinga fingeravtrycksdatabasen att acceptera deras fingeravtryck som användarens. Sedan behövde de bara skanna sitt fingeravtryck för att få tillgång till Lenovo ThinkPad.
Hur hackarna tog sig förbi Windows Hello på Microsoft Surface Pro Type Cover
Hackarna hade trott att Surface Pro skulle vara den svåraste enheten att forcera, men de blev förvånade över att Surface Pro saknade tillräckliga säkerhetsåtgärder för att verifiera giltiga fingeravtryck. Faktum är att de insåg att de bara behövde överlista ett försvar och sedan signalera till Surface Pro att fingeravtrycksskanningen var framgångsrik för att få tillgång till enheten.
Vad innebär dessa hack för dig?
Dessa hack kan låta oroande om du använder fingeravtryck för att logga in på din bärbara dator. Det är dock viktigt att komma ihåg några saker innan du helt avstår från fingeravtrycksskanning.
1. Attackerna utfördes av erfarna hackare
Anledningen till att hot som ransomware-as-a-service är så farliga är att vem som helst med grundläggande kunskaper inom cybersäkerhet kan använda dem. De ovannämnda hacken kräver dock en hög nivå av expertis och en djup förståelse för hur enheter autentiserar fingeravtryck och hur man undviker dessa system.
2. Attackerna kräver fysisk interaktion med enheten
Hackarna behövde ha fysisk kontakt med enheten för att genomföra de beskrivna attackerna. Rapporten nämnde att det kan vara möjligt att skapa USB-enheter som kan genomföra attackerna när de väl är anslutna, men det innebär att en potentiell angripare måste ansluta något till din dator för att hacka den.
3. Attackerna fungerar endast på specifika enheter
Det är värt att notera att varje attack behövde en unik strategi för att nå målet. Varje enhet är unik, och en hack som fungerar på en enhet fungerar inte nödvändigtvis på en annan. Du bör alltså inte anta att Windows Hello nu är fullständigt osäkert på alla enheter; det är enbart dessa tre specifika enheter som har visat sig sårbara.
Även om dessa hack kan verka skrämmande är de svåra att genomföra mot faktiska mål. Hackaren skulle i praktiken behöva stjäla enheten för att kunna genomföra dessa intrång, vilket sannolikt skulle uppmärksamma den tidigare ägaren.
Hur man skyddar sig mot fingeravtryckshackning
Som tidigare nämnt är de upptäckta hacken komplicerade att utföra och kan kräva att hackaren tar bort enheten för att fysiskt kunna komma åt den. Därför är risken att dessa attacker skulle riktas mot dig personligen extremt liten.
Men om du känner dig osäker finns det några åtgärder du kan vidta för att skydda dig mot intrång via fingeravtrycksläsare:
1. Lämna inte enheter obevakade och oskyddade
Eftersom en hackare behöver fysisk tillgång till din enhet, bör du försäkra dig om att den inte hamnar i fel händer. För datorer kan du vidta åtgärder för att undvika stöld. Om du använder en bärbar dator, lämna den aldrig utan uppsikt i offentliga utrymmen och använd en stöldskyddad väska för att försvåra för tjuvar.
2. Använd en annan inloggningsmetod
Windows Hello har stöd för flera olika inloggningsmetoder, vissa säkrare än andra. Om du har blivit förtjust i fingeravtrycksskanning, undersök om ansiktsigenkänning, irisigenkänning, PIN-kod eller lösenordsinloggning är säkrare och välj den metod som passar dig bäst.