Chi pensava che l’autenticazione tramite dati biometrici fosse la più sicura e permettesse finalmente di abbandonare il farraginoso sistema delle password (che devono essere diverse, cambiate periodicamente e, ovviamente, ricordate) e dell’accoppiata password più pin (stessi problemi) resterà ora deluso dall’ultimo report dei ricercatori di Blackwing Intelligence, incaricati dall’Offensive Research and Security Engineering (M.O.R.S.E.) di Microsoft di valutare la sicurezza dei sensori di impronte digitali. Ebbene, Windows Hello non ne è uscito benissimo.
LA FALLA DI WINDOWS HELLO
L’autenticazione tramite impronte digitali di Windows Hello di Microsoft è stata infatti aggirata su computer portatili marcati Dell, Lenovo e, pare impossibile, persino Microsoft. Nelle loro prove, gli esperti di cybersicurezza hanno violato un Dell Inspiron 15, un Lenovo ThinkPad T14 e un Microsoft Surface Pro X con attacchi mirati al lettore di impronte digitali.
In poche parole, si scardina il chiavistello allo scanner e si sorpassa la protezione di Windows Hello, a patto – viene sottolineato – che qualcuno abbia precedentemente utilizzato l’autenticazione tramite impronte digitali su un dispositivo. Limite che ovviamente non è poi tale, dato che è più facile che un malintenzionato irrompa in un dispositivo usato per rubarne i dati piuttosto che in uno nuovo di fabbrica. I ricercatori di Blackwing Intelligence hanno spiegato di avere effettuato il reverse engineering sia del software sia dell’hardware portando contestualmente alla luce difetti di implementazione crittografica in un TLS personalizzato sul sensore Synaptics, con la decodifica e la reimplementazione di protocolli proprietari.
DI CHI È LA COLPA?
“Microsoft ha fatto un buon lavoro progettando il Secure Device Connection Protocol (SDCP) per fornire un canale sicuro tra l’host e i dispositivi biometrici, ma purtroppo i produttori di dispositivi sembrano aver frainteso alcuni degli obiettivi”, si legge nella pagella redatta da Jesse D’Aguanno e Timo Teräs, ricercatori di Blackwing Intelligence. “Inoltre, SDCP copre solo un ambito molto ristretto del funzionamento di un dispositivo tipico, mentre la maggior parte dei dispositivi ha una notevole superficie di attacco esposta che non è affatto coperta da SDCP”.
I ricercatori hanno scoperto che la protezione SDCP di Microsoft non era abilitata su due dei tre dispositivi presi di mira. Blackwing Intelligence raccomanda agli OEM di assicurarsi che SDCP sia abilitato e che l’implementazione del sensore di impronte digitali sia verificata da un esperto qualificato.
IL PRECEDENTE DEL 2021
Il magazine specializzato The Verge sottolinea che non è la prima volta che l’autenticazione basata sulla biometria di Windows Hello viene sconfitta. Microsoft è stata costretta a correggere una vulnerabilità dell’autenticazione di Windows Hello nel 2021, a seguito di un proof-of-concept che prevedeva la cattura di un’immagine a infrarossi di una vittima per falsificare la funzione di riconoscimento facciale di Windows Hello.
COSA CONCLUDERE?
Naturalmente studi simili sono più utili a chi sviluppa software e produce hardware che non ai singoli utenti. Questo perché i primi devono continuamente aumentare gli sforzi difensivi, mentre i secondi non sempre sono esposti a minacce concrete. In questo caso, per esempio, per scardinare il sistema di sicurezza occorre un’opera di un hacker esperto. Considerazione che non rincuorerà tutti.
Anche perché Blackwing Intelligence è già al lavoro per studiare attacchi di corruzione della memoria sul firmware del sensore e anche la sicurezza del sensore di impronte digitali su dispositivi Linux, Android e Apple. L’eterna lotta tra costruttori di serrature e ladri che segue l’uomo dagli albori della storia, insomma, continua.
Articoli correlati
Ok di Francia e Germania alla prima fase del carro armato del futuro (Mgcs)
Sanchez in Spagna abbraccia Telefonica per arginare i sauditi
Ecco come Bruxelles accerchia la cinese Shein
Saras da Moratti a Vitol? Il governo dice ok
