Teadlastel õnnestus Windows Hello sõrmejälgede skannimistest läbi murda, kuid see pole nii hirmutav, kui esmapilgul arvate.
Sõrmejäljeskanneriga Windowsi sülearvutisse sisselogimine on lihtne; lihtsalt asetage sõrm skannerile ja operatsioonisüsteem laseb teid sisse. Teadlased on aga näidanud, et kuigi see meetod on mugav, ei ole see häkkimiskindel.
Niisiis, kuidas saavad inimesed Windows Hello sõrmejälje skannimisest mööda häkkida ja kas peaksite selle pärast muretsema?
Kas inimesed saavad häkkida Windows Hello sõrmejäljeskannereid?
Kui häkker soovib Windowsi masinas sõrmejäljeskannerist mööda minna, on nende eesmärk pääseda mööda teenusest nimega Windows Hello. See teenus käsitleb Windowsi sisselogimist (nt PIN-koode, näo skannimist ja sõrmejälgede skannimist).
Windows Hello tugevuse uurimise osana kaks valge mütsi häkkerid, Jesse D'Aguanno ja Timo Teräs postitasid oma veebisaidile aruande, Blackwingi peakorter. Aruandes kirjeldatakse, kuidas nad rikkusid kolme populaarset seadet: Dell Inspiron 15, Lenovo ThinkPad T14 ja Microsoft Surface Pro Type Cover.
Kuidas häkkerid Dell Inspiron 15-s Windows Hello'i rikkusid
Dell Inspiron 15 puhul märkasid häkkerid, et nad saavad sülearvutis Linuxi käivitada. Pärast Linuxi sisselogimist saavad nad oma sõrmejäljed süsteemis registreerida ja anda sellele sama ID, mis Windowsi kasutajale, kuhu nad soovivad sisse logida.
Seejärel sooritavad nad rünnaku arvuti ja anduri vahelisele ühendusele. Nad seadistasid selle nii, et kui Windows kontrollib skannitud sõrmejälgede õigsust, kontrollib see Linuxi sõrmejälgede andmebaasi enda enda asemel.
Windows Hellost kõrvale hiilimiseks laadisid häkkerid oma sõrmejäljed Linuxi andmebaasi, määrasid sellele sama ID, mis Windowsi kasutajal, ja proovisid seejärel oma sõrmejälgedega Windowsi sisse logida. Autentimisprotsessi käigus suunasid nad paketi Linuxi andmebaasi, mis teatas Windowsile, et määratud ID-ga kasutaja on valmis sisse logima.
Kuidas häkkerid Lenovo ThinkPad T14 Windows Hello'i rikkusid
Lenovo ThinkPadi puhul avastasid häkkerid, et sülearvuti kasutas sõrmejälgede kontrollimiseks kohandatud krüpteerimismeetodit. Mõne tööga suutsid häkkerid selle dekrüpteerida, andes neile võimaluse sõrmejälgede kontrollimise protsessi.
Kui see on tehtud, võivad häkkerid sundida sõrmejälgede andmebaasi aktsepteerima nende sõrmejälge kasutaja omaks. Seejärel pidid nad vaid skannima oma sõrmejälge, et pääseda Lenovo ThinkPadile.
Kuidas häkkerid Microsoft Surface Pro tüüpi kaanel Windows Hello'i rikkusid
Häkkerid uskusid, et Surface Pro on kõige raskemini purustatav seade, kuid nad olid üllatunud, et Surface Pro-l puudusid kehtivate sõrmejälgede kontrollimiseks palju turvameetmeid. Tegelikult avastasid nad, et neil tuli ainult ühest kaitsest mööda hiilida, seejärel teatas Surface Pro-le, et sõrmejälje skannimine oli edukas ja seade lasi nad sisse.
Mida need häkid teie jaoks tähendavad?
Need häkkimised võivad tunduda üsna hirmutavad, kui kasutate sülearvutisse sisselogimiseks sõrmejälgi. Siiski on oluline meeles pidada mõnda olulist asja, enne kui loobute sõrmejälgede skannimisest täielikult.
1. Rünnakud sooritasid osavad häkkerid
Põhjus ähvardused nagu lunavara teenusena on nii surmavad, et igaüks, kellel on minimaalne küberturvalisus, saab neid kasutada. Ülaltoodud häkkimised nõuavad aga kõrgetasemelist asjatundlikkust ja sügavat arusaamist sellest, kuidas seadmed sõrmejälgi autentivad ja kuidas neid vältida.
2. Rünnakud nõuavad, et ründaja seadmega füüsiliselt suhtleks
Häkkeritel peab ülaltoodud häkkide sooritamiseks olema seadmega füüsiline kontakt. Aruandes väitsid häkkerid, et neil võib olla võimalik luua USB-seadmeid, mis suudavad seda teha rünnak, kui see on ühendatud, kuid see tähendab, et potentsiaalne ründaja peab teie arvutiga midagi ühendama häkkida seda.
3. Rünnakud töötavad ainult teatud seadmete puhul
Märkad, et iga rünnak pidi sama eesmärgi saavutamiseks valima erineva tee. Iga seade on ainulaadne ja häkkimine, mis töötab ühes seadmes, ei pruugi töötada teises. Sellisena ei tohiks te uskuda, et Windows Hello on nüüd igas seadmes laiali löödud; just need kolm ebaõnnestusid.
Ehkki need häkkimised võivad tunduda hirmutavad, on neid tegelike sihtmärkidega võrreldes keeruline sooritada. Häkker peab tõenäoliselt nende häkkimiste tegemiseks seadme varastama, mis kahtlemata hoiataks eelmist omanikku.
Kuidas kaitsta sõrmejälgede häkkimise eest
Nagu eespool öeldud, on avastatud häkkide teostamine keeruline ja häkker võib nõuda seadme eemaldamist, et sellesse füüsiliselt sisse murda. Seetõttu on väga väike tõenäosus, et need rünnakud on suunatud teile isiklikult.
Kui te siiski rahul ei ole, on mõned viisid, kuidas end sõrmejäljeskannerite häkkimise eest kaitsta.
1. Ärge jätke seadmeid järelevalveta ja kaitseta
Kuna häkker peab teie seadmega füüsiliselt suhtlema, peaksite tagama, et see ei satuks valedesse kätesse. Arvutite puhul saate astuge samme, et vältida selle vargust. Kui kasutate sülearvutit, ärge kunagi jätke seda üksi avalikku ruumi ja kasutage vargusvastane sülearvutikott et inimesed ei rebiks teie kotti lahti.
2. Kasutage teist sisselogimismeetodit
Windows Hello toetab paljusid erinevaid sisselogimismeetodeid, millest mõned on turvalisemad kui teised. Kui olete sõrmejälgede skannimisest armunud, vaadake, kas näo, iirise, sõrmejälje, PIN-koodi või parooliga sisselogimised on turvalisemadja valige endale kõige sobivam.