日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
新的指紋傳感器漏洞可繞過 Windows Hello 登錄

一項(xiàng)新的研究發(fā)現(xiàn),戴爾 Inspiron 15、聯(lián)想 ThinkPad T14 和微軟 Surface Pro X 筆記本電腦上的多個(gè)漏洞可以繞過 Windows Hello 身份驗(yàn)證。

我們提供的服務(wù)有:成都網(wǎng)站設(shè)計(jì)、成都網(wǎng)站建設(shè)、微信公眾號(hào)開發(fā)、網(wǎng)站優(yōu)化、網(wǎng)站認(rèn)證、湖里ssl等。為上千多家企事業(yè)單位解決了網(wǎng)站和推廣的問題。提供周到的售前咨詢和貼心的售后服務(wù),是有科學(xué)管理、有技術(shù)的湖里網(wǎng)站制作公司

這些漏洞是由硬件和軟件產(chǎn)品安全研究公司 Blackwing Intelligence 的研究人員發(fā)現(xiàn)的,他們從這些設(shè)備中嵌入的 Goodix、Synaptics 和 ELAN 的指紋傳感器中發(fā)現(xiàn)了這些漏洞。

利用指紋讀取器漏洞的前提條件是目標(biāo)筆記本電腦的用戶已經(jīng)設(shè)置了指紋驗(yàn)證。

這三種指紋傳感器都是一種稱為 "芯片匹配"(MoC)的傳感器,它將匹配和其他生物識(shí)別管理功能直接集成到傳感器的集成電路中。

研究人員 Jesse D'Aguanno 和 Timo Ter?s 說:雖然 MoC 可以防止將存儲(chǔ)的指紋數(shù)據(jù)重放給主機(jī)進(jìn)行匹配,但它本身并不能防止惡意傳感器欺騙合法傳感器與主機(jī)的通信,謊稱授權(quán)用戶已成功通過身份驗(yàn)證。

MoC也無法阻止重放主機(jī)與傳感器之間先前記錄的通信。

盡管微軟創(chuàng)建的安全設(shè)備連接協(xié)議(SDCP)旨在通過創(chuàng)建端到端安全通道來緩解其中的一些問題,但研究人員發(fā)現(xiàn)了一種新方法,可用于規(guī)避這些保護(hù)措施和發(fā)動(dòng)AitM攻擊。

在Synaptics公司的案例中,不僅發(fā)現(xiàn)SDCP在默認(rèn)情況下是關(guān)閉的,而且在實(shí)施過程中還選擇依賴有漏洞的自定義傳輸層安全(TLS)協(xié)議棧來確保主機(jī)驅(qū)動(dòng)程序和傳感器之間的USB通信安全,而這種安全協(xié)議棧可以被用來規(guī)避生物識(shí)別身份驗(yàn)證。

另一方面,對(duì) Goodix 傳感器的利用,利用了在加載了 Windows 和 Linux 的機(jī)器上執(zhí)行的注冊(cè)操作的根本差異,利用后者不支持 SDCP 來執(zhí)行以下操作:

  • 啟動(dòng)到 Linux
  • 枚舉有效 ID
  • 使用與合法 Windows 用戶相同的 ID 注冊(cè)攻擊者的指紋
  • 利用明文 USB 通信對(duì)主機(jī)和傳感器之間的連接進(jìn)行 MitM
  • 啟動(dòng)到 Windows
  • 攔截并重寫配置數(shù)據(jù)包,以便使用我們的米特米技術(shù)指向 Linux DB
  • 使用攻擊者的指紋以合法用戶身份登錄

值得指出的是,雖然 Goodix 傳感器為 Windows 和非 Windows 系統(tǒng)分別提供了不同的指紋模板數(shù)據(jù)庫,但由于主機(jī)驅(qū)動(dòng)程序會(huì)向傳感器發(fā)送未經(jīng)驗(yàn)證的配置數(shù)據(jù)包,以指定在傳感器初始化過程中使用哪個(gè)數(shù)據(jù)庫,因此攻擊才有可能發(fā)生。

為減少此類攻擊,建議原始設(shè)備制造商(OEM)啟用 SDCP,并確保指紋傳感器的實(shí)施由獨(dú)立的專家進(jìn)行審核。

研究人員說:微軟在設(shè)計(jì) SDCP 以在主機(jī)和生物識(shí)別設(shè)備之間提供安全通道方面做得很好,但不幸的是,設(shè)備制造商似乎誤解了其中的一些目標(biāo)。

此外,SDCP 只覆蓋了典型設(shè)備非常狹窄的操作范圍,而大多數(shù)設(shè)備都暴露了相當(dāng)大的攻擊面,SDCP 根本沒有覆蓋這些攻擊面。

參考鏈接:https://thehackernews.com/2023/11/new-flaws-in-fingerprint-sensors-let.html


本文名稱:新的指紋傳感器漏洞可繞過 Windows Hello 登錄
文章來源:http://www.5511xx.com/article/dppjhdd.html