生物识别访问面临风险

安全公司 Blackwing Intelligence 发现了多个允许您绕过Windows Hello 身份验证的漏洞。

戴尔 Inspiron 灵越 15、联想 ThinkPad T14 和 Microsoft Surface Pro X笔记本电脑上会出现这种情况,原因是设备中集成了来自Goodix、Synaptics 和 ELAN的指纹传感器。

所有三种类型的指纹传感器均采用“芯片匹配” (MoC) 原理。该原理将匹配功能和其他生物识别控制直接集成到传感器 IC 中。 

所有指纹信息均在传感器本身上进行处理和存储。它们不会传输到外部处理器或存储设备。

然而,MoC 并不能阻止中间对手(AitM)攻击。因此,攻击者可以模仿传感器和主机之间的合法通信,并错误地声称授权用户已通过身份验证。

使用指纹识别器的前提是目标笔记本电脑的用户已经配置了指纹认证。

Blackwing Intelligence 发现 ELAN 传感器由于缺乏对 Microsoft安全设备连接协议 (SDCP ) 的支持而容易受到攻击。

它还受到以明文形式传输安全标识符的影响,这使得任何 USB 设备都可以伪装成指纹传感器。

对于 Synaptics,问题是默认情况下禁用 SDCP。它使用自定义的、不安全的TLS 堆栈 来保护主机驱动程序和传感器之间的 USB 连接。可以操纵它来绕过生物识别身份验证。

为了利用 Goodix 传感器漏洞,网络犯罪分子可以利用 Windows 和 Linux 之间指纹注册过程的差异。

这使得攻击者的指纹被记录在 Linux 数据库中,然后用于以合法用户身份登录 Windows。

值得注意的是,汇顶传感器拥有针对 Windows 和非 Windows 系统的单独指纹模式数据库。

该攻击是可能的,因为主机驱动程序向传感器发送未经身份验证的配置数据包。这对于指示初始化传感器时使用哪个数据库是必要的。

建议硬件制造商启用 SDCP 并由独立专家验证指纹传感器的实现。 

这并不是 Windows Hello 生物识别身份验证第一次被成功绕过。

2021年7月,微软发布了CVE-2021-34466(CVSS:6.1)漏洞的补丁。

这个安全漏洞使得身份验证系统可以通过使用红外图像来欺骗。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/216224.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Python 基础【五】--数据类型-序列【2023.11.24】

1.定义 Python 中的序列是一块可存放多个值的连续内存空间,所有值按一定顺序排列,每个值所在位置都有一个编号,称其为索引,我们可以通过索引访问其对应值。 list1 [Google, Runoob, 1997, 2000] list2 [1, 2, 3, 4, 5 ] list3…

Spring AOP:什么是AOP? 为什么要用AOP?如何学习AOP?

文章目录 🎆前言1.为什么要用 AOP3.如何学习去 AOP?3.1 AOP 的组成切面(Aspect)连接点(Join Point)切点(Pointcut)通知(Advice) 3. Spring AOP 实现3.1 普通的方式实现 …

C++设计模式之策略模式

策略模式 介绍示例示例测试运行结果应用场景优点总结 介绍 策略模式是一种行为设计模式。在策略模式中,可以创建一些独立的类来封装不同的算法,每一个类封装一个具体的算法,每一个封装算法的类叫做策略(Strategy),为了保证这些策…

2.19 keil里面工具EventCorder使用方法

设置方法如下: 添加初始化代码如下: eventRecord.c #include "eventRecord.h" #include "usart.h" extern UART_HandleTypeDef *pcControlUart;/* RecordEvent初始化 */ void InitEventRecorder(void) {#ifdef RTE_Compiler_Even…

【Kotlin精简】第9章 Kotlin Flow

1 前言 上一章节我们学习了Kotlin的协程【Kotlin精简】第8章 协程,我们知道 协程实质是对线程切换的封装,能更加安全实现异步代码同步化,本质上协程、线程都是服务于并发场景下,其中协程是协作式任务,线程是抢占式任务…

Java开发环境配置“JDK”超详细整理,适合新手入门

目录 一、什么是JDK? 二、Java中JDK8、JDK17该怎么选择? 三、JDK和JRE是什么关系? 四、JDK包含的基本组件 五、JDK下载步骤 JDK 安装 1、双击运行安装包,出现安装程序,点击下一步 2、修改JDK安装目录 3、根据…

【Django-DRF】md笔记第6篇:Django-DRF的视图、认证、分页和其他功能详解

本文从分析现在流行的前后端分离Web应用模式说起,然后介绍如何设计REST API,通过使用Django来实现一个REST API为例,明确后端开发REST API要做的最核心工作,然后介绍Django REST framework能帮助我们简化开发REST API的工作。 DR…

算法-中等-链表-两数相加

记录一下算法题的学习11 两数相加 题目:给你两个非空的链表,表示两个非负的整数。它们每位数字都是按照逆序的方式存储的,并且每个节点只能存储一位数字。请你将两个数相加,并以相同形式返回一个表示和的链表。你可以假设除了数字…

Linux:Ubuntu系统安装软件

本次以安装vim为例 sudo apt-get remove vim //卸载vim sudo apt-get install vim //安装vim sudo apt-cache show vim //获取vim软件信息安装时间较长。 安装完成后,执行下第三条指令,测试下是否安装成功即可。

01、Tensorflow实现二元手写数字识别

01、Tensorflow实现二元手写数字识别(二分类问题) 开始学习机器学习啦,已经把吴恩达的课全部刷完了,现在开始熟悉一下复现代码。对这个手写数字实部比较感兴趣,作为入门的素材非常合适。 基于Tensorflow 2.10.0 1、…

Java--类和对象

目录 面向对象一.类1.类的创建默认初始化2.类的实例化3.注意事项利用类的创建来交换值 二.this1.使用this2.可使用this来调用其他构造方法来简化 三.构造方法3.1概念3.2特性3.3不带参数的构造方法3.4带参数的构造方法当使用自定义的构造方法后,再删除时,…

数据结构-树-二叉树-堆的实现

1.树概念及结构 树是一种 非线性 的数据结构,它是由 n ( n>0 )个有限结点组成一个具有层次关系的集合。 把它叫做树是因 为它看起来像一棵倒挂的树,也就是说它是根朝上,而叶朝下的 。 有一个特殊的结点&#xff…