Araştırmacılar, Dell Inspiron 15, Lenovo ThinkPad T14 ve Microsoft Surface Pro X dizüstü bilgisayarlarda Windows Hello parmak izi kimlik doğrulamasında çeşitli zayıflıklar buldu.
Microsoft’un Saldırı Araştırması ve Güvenlik Mühendisliği (MORSE), araştırmacılardan dizüstü bilgisayarlara yerleştirilmiş en iyi üç parmak izi sensörünün güvenliğini değerlendirmelerini istedi. Üçünde de Windows Hello kimlik doğrulamasını tamamen atlamalarına olanak tanıyan güvenlik açıkları buldular.
Tüm teknik ayrıntıları okumak isterseniz sizi Blackwing araştırmacısının bloguna yönlendirmekten memnuniyet duyarız: PWN’YE DOKUNUŞ – BÖLÜM I. Daha az teknik bir özet için devam edin.
Her şeyden önce, bu güvenlik açıklarından yararlanılabilmesi için hedef dizüstü bilgisayarda parmak izi kimlik doğrulamasının ayarlanması gerektiğini bilmek önemlidir. Eğer bu doğru olmasaydı, nasıl bir felaket olacağını bir düşünün.
Araştırmacıların incelediği üç sensörün tümü “çip üzerinde eşleşme” tipindeydi. Bu, ayrı bir çipin biyometrik kimlik bilgilerini (bu durumda parmak izlerini) sakladığı ve hacklenmeyi neredeyse imkansız hale getirdiği anlamına gelir.
Sensör ile dizüstü bilgisayar arasındaki iletişim, Microsoft tarafından oluşturulan Güvenli Cihaz Bağlantı Protokolü (SDCP) aracılığıyla kurulan güvenli bir kanal üzerinden gerçekleştirilir.
SDCP, sensörle ilgili üç soruyu yanıtlamayı amaçlamaktadır:
- Dizüstü bilgisayar, kötü niyetli bir sensörle değil de güvenilir bir sensörle konuştuğundan nasıl emin olabilir?
- Lapop, sensörün güvenliğinin ihlal edilmediğinden nasıl emin olabilir?
- Sensörden gelen ham girdi nasıl korunur?
- Girişin doğrulanması gerekir.
- Giriş yenidir ve yeniden oynatılamaz.
Peki ne yanlış gidebilir?
Araştırmacılar hâlâ sensör ve dizüstü bilgisayarlar arasındaki iletişimi taklit etmeyi başardılar. Dizüstü bilgisayarları, sensör gibi davranan ve yetkili bir kullanıcının oturum açtığına dair bir sinyal gönderen bir USB cihazı kullanarak kandırmayı başardılar.
Baypaslar mümkündür çünkü cihaz üreticileri SDCP’yi tam potansiyeliyle kullanmamıştır:
- Dell ve Microsoft Surface dizüstü bilgisayarlarda yaygın olarak kullanılan ELAN sensörü, SDCP desteğinden yoksundur ve güvenlik tanımlayıcılarını açık metin olarak iletir.
- Hem Lenovo hem de Dell tarafından kullanılan Synaptics sensörleri, SDCP’yi varsayılan olarak kapatmıştı ve USB iletişimlerini güvence altına almak için kusurlu bir özel Aktarım Katmanı Güvenliği (TLS) yığını kullanıyordu.
- Hem Lenovo hem de Dell tarafından da kullanılan Goodix sensörleri, SDCP’yi desteklemeyen Windows ve Linux için uygun oldukları için atlanabilir. Ana bilgisayar sürücüsü, sensörün başlatılması sırasında hangi veritabanının kullanılacağını belirtmek için sensöre kimliği doğrulanmamış bir yapılandırma paketi gönderir.
Araştırmacıların üreticilere tavsiyesi açıktır: SDCP güçlü bir protokoldür, ancak etkinleştirilmediğinde veya kurulumunuzda diğer zayıf bağlantılar kullanılarak atlanabildiğinde bir faydası olmaz.
Üç üreticinin ismen anılması, diğerlerinin daha iyi bir iş çıkardığı anlamına gelmez. Bu sadece araştırmacıların onları test etmeye vakit bulamadıkları anlamına geliyor.
Bir kullanıcı olarak herhangi birinin USB aygıtıyla dizüstü bilgisayarınıza yaklaşabileceğinden endişeleniyorsanız, kimlik doğrulama yöntemi olarak parmak izlerini kullanmamalı ve devre dışı bırakmamalısınız.
- Yazın ve arayın [Sign-in options] Windows arama çubuğunda, ardından [Open].
- Seçme [Fingerprint recognition (Windows Hello), then click [Remove]ve parmak iziyle oturum açma seçeneği kaldırılacaktır.
Üreticiler kurulumlarındaki zayıflıkları giderene kadar bunun güvenli bir kimlik doğrulama yöntemi olduğunu varsayamayız.
Yalnızca tehditleri rapor etmiyoruz; onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.