Una preoccupante vulnerabilità allerta Windows e in particolare i lettori d’impronta digitale: sistema bucato, caccia alla soluzione.
Tre indizi e una prova. I test di sicurezza sui lettori d’impronta digitale hanno dato esito negativo sui tre principali laptop riguardanti i lettori delle impronte digitali Windows Hello, il sistema definito da Microsoft come il più personale e sicuro per accedere in modo immediato ai dispositivi Windows 11 usando un PIN, il riconoscimento del volto o l’impronta digitale.
Una descrizione che ad oggi non corrisponde, ahinoi, a verità. Non è né il più personale né il più sicuro, soprattutto non dà le garanzie promesse sull’accesso ai dispositivi Windows 11. Quel che peggio è che a oggi non esiste una soluzione.
È questa la considerazione più preoccupante dopo quei test di sicurezza sui lettori d’impronta digitale. Che hanno dato esito negativo sui tre principali laptop: la prima conseguenza non può essere che l’allerta Windows. Ma cosa sta succedendo?
Bypassata l’autenticazione di Windows Hello su tutti e tre i laptop. Vulnerabilità e allerta
Finora agli utenti di laptop Windows piaceva pensare, tra convinzioni e la garanzia di Microsoft, diavere nella propria versione di Touch ID la serenità propria di chi pensa di avere tutto sotto controllo, barricato nell’altissimo livello di sicurezza. Sbagliato.
Il sistema di autenticazione delle impronte digitali Windows Hello è stato messo alla prova dalla società di sicurezza informatica Blackwing Intelligence, commissionata proprio da Microsoft. Ebbene quel test ha dato esiti che nessuno si sarebbe mai aspettato.
In un primo momento, il team ha effettuato i test di penetrazione su richiesta di Microsoft ma si trattava di un prodotto Surface, che si è rivelato più facile da aggirare.
Non era quella la vulnerabilità più eclatante. L’Offensive Research and Security Engineering aveva chiesto di valutare la sicurezza dei tre principali sensori di impronte digitali incorporati nei laptop e utilizzati per l’autenticazione delle impronte digitali di Windows Hello.
La ricerca ha individuato, tra lo stupore generale, molteplici vulnerabilità sfruttate dai tester per bypassare completamente l’autenticazione di Windows Hello su tutti e tre i laptop. I tre laptop in questione non sono robetta, visto che si chiamano Dell Inspiron 15, LenovoThinkPad T14 e la cover con tasti per Microsoft Surface Pro con ID impronta digitale (per Surface Pro 8 / X).
I ricercatori di Blackwing Intelligence sono riusciti a eludere la protezione di Windows Hello, bypassando l’autentificazione biometrica e rivelando difetti di implementazione crittografica in un TLS personalizzato sul sensore Synaptics.
Il complicato processo per aggirare Windows Hello ha comportato anche la decodifica e la reimplementazione di protocolli proprietari. Ad oggi non è stata trovata la soluzione al problema da parte di Microsoft, mentre la si cerca, meglio non utilizzare quell’autentificazione.