Os pesquisadores contornaram com sucesso a autenticação de impressão digital do Windows Hello da Microsoft

Um grupo de segurança contratado pela Microsoft para testar seu hardware e software de autenticação de impressão digital do Windows Hello divulgou que foi capaz de contornar essa tecnologia em vários laptops, incluindo um produto Microsoft Surface.

O grupo Blackwell Intelligence revelou suas descobertas em outubro, como parte da conferência de segurança BlueHat da Microsoft, mas só publicou seus resultados em seu próprio site esta semana (via The Verge< ai=2>). A postagem do blog, que tem o título cativante “A Touch of Pwn“, afirmava que o grupo usou os sensores de impressão digital dentro do Dell Inspiron 15 e do Lenovo ThinkPad Laptops T14, junto com a capa tipo Microsoft Surface Pro com identificação de impressão digital feita para os tablets Surface Pro 8 e X. Os sensores de impressão digital específicos foram fabricados pela Goodix, Synaptics e ELAN.

Todos os sensores de impressão digital com suporte do Windows Hello testados usavam hardware “match on chip”, o que significa que a autenticação é feita no próprio sensor, que possui seu próprio microprocessador e armazenamento. Blackwell declarou:

Um banco de dados de “modelos de impressão digital” (os dados biométricos obtidos pelo sensor de impressão digital) é armazenado no chip, e o registro e a correspondência são realizados diretamente no chip. Como os modelos de impressão digital nunca saem do chip, isso elimina as preocupações com a privacidade do material biométrico armazenado e potencialmente exfiltrado do host, mesmo que o host esteja comprometido. Essa abordagem também evita ataques que envolvem simplesmente o envio de imagens de impressões digitais válidas ao host para correspondência.

Blackwell usou engenharia reversa para encontrar falhas nos sensores de impressão digital e então criou seu próprio dispositivo USB que poderia realizar um ataque man-in-the-middle (MitM). Este dispositivo permitiu-lhes contornar o hardware de autenticação de impressão digital nesses dispositivos.

O blog também apontou que, embora a Microsoft use o Secure Device Connection Protocol (SDCP) “para fornecer um canal seguro entre o host e os dispositivos biométricos”, dois dos três sensores de impressão digital testados nem sequer tinham SDCP habilitado. Blackwell recomendou que todas as empresas de sensores de impressão digital não apenas habilitassem o SDCP em seus produtos, mas também contratassem uma empresa terceirizada para garantir que funcionasse.

Deve-se ressaltar que contornar esses produtos de hardware de impressão digital exigiu “aproximadamente três meses” de trabalho da Blackwell, com muito esforço, mas a questão é que eles tiveram sucesso. Resta saber se a Microsoft, ou as empresas de sensores de impressão digital, podem usar esta pesquisa para corrigir esses problemas.