Estudo descobre falhas em leitores de digitais usados por Windows Hello

Sensores instalados em laptops Dell, Lenovo e Microsoft não usam corretamente protocolos de segurança e estão vulneráveis a ataques

Giovanni Santa Rosa
Por
Impressão digital com linhas na cor vermelha
Leitores de impressão digital usados pelo Windows Hello podem ser enganados (Imagem: Arthur Mazi/Unsplash)

Um estudo encontrou falhas de segurança envolvendo o Windows Hello, sistema de login com dados biométricos empregado pelo sistema da Microsoft. Mais especificamente, as vulnerabilidades foram detectadas nos componentes usados pelos laptops Dell Inspiron 15, Lenovo ThinkPad T14 e Microsoft Surface Pro X.

Os problemas estão em leitores fabricados pelas empresas Goodix, Synaptics e Elan. Eles vêm equipados nos modelos de laptops mencionados.

As brechas foram encontradas pela empresa de cibersegurança Blackwing Intelligence, em uma pesquisa encomendada pela própria Microsoft.

Os especialistas descobriram que é possível driblar a proteção dos leitores de digitais, desde que o usuário tenha ativado essa opção anteriormente.

Sensores têm falhas em criptografia e protocolos

Usando engenharia reversa no hardware e no software, os pesquisadores descobriram falhas na implementação da criptografia no sensor da Synaptics. Usando decodificação e reimplementação, eles conseguiram enganar o Windows Hello.

PC com Windows 10 e Windows Hello (Imagem: Divulgação / Microsoft)
PC com Windows 10 e Windows Hello (Imagem: Divulgação / Microsoft)

Já o componente da Elan é vulnerável por não ter suporte adequado ao SDCP, protocolo da Microsoft para comunicação segura de ponta a ponta, e por transmitir identificadores de segurança sem criptografia.

Assim, é possível usar um aparelho USB para se passar por um sensor e conseguir uma autorização para fazer login.

Por fim, o ataque ao sensor da Goodix usa o Linux, que não tem suporte a SDCP, para configurar a digital do agente mal-intencionado como se fosse a legítima do usuário. Depois, é possível alterar o banco de dados usado pelo sensor e conseguir acesso ao sistema.

Fabricantes precisam auditar sistemas

Segundo a Blackwing, o problema não está no SDCP, protocolo criado pela Microsoft, e sim nos componentes. “Infelizmente, os fabricantes parecem não entender corretamente alguns dos objetivos [do padrão]”, escrevem os especialistas Jesse D’Aguanno e Timo Teräs.

Além disso, eles explicam que o protocolo cobre “apenas um escopo muito pequeno da operação típica de um dispositivo, enquanto a maioria dos aparelhos tem uma superfície de exposição muito maior, não coberta pelo SDCP”.

A empresa de cibersegurança recomenda que as fabricantes se certifiquem que o SDCP está ativado e garantam que a implementação seja auditada por um especialista qualificado.

Mesmo assim, não é a primeira vez que o Windows Hello é enganado. Em 2021, a empresa de cibersegurança Cyber Ark conseguiu invadir o sistema usando uma webcam falsa. A Microsoft resolveu o problema.

Com informações: The Verge, The Hacker News

Relacionados