Según Neowin , el equipo de Blackwell Intelligence reveló sus hallazgos en octubre pasado durante la conferencia de seguridad BlueHat de Microsoft, pero recién publicaron los resultados en su propio sitio web esta semana. La entrada del blog, titulada “A Touch of Pwn”, dice que el equipo utilizó sensores de huellas dactilares dentro de las computadoras portátiles Dell Inspiron 15 y Lenovo ThinkPad T14, así como cubiertas tipo Microsoft Surface Pro con identificación de huellas dactilares hechas para Surface Pro 8 y X. Los sensores de huellas dactilares específicos fueron fabricados por Goodix, Synaptics y ELAN.
A Blackwell le tomó alrededor de tres meses de investigación descubrir una vulnerabilidad en Windows Hello.
Todos los sensores de huellas dactilares compatibles con Windows Hello que probamos utilizan hardware basado en chip, lo que significa que la autenticación se maneja en el propio sensor, que tiene su propio chip y almacenamiento.
En su declaración, Blackwell dijo que la base de datos de "plantillas de huellas dactilares" (datos biométricos capturados por el sensor de huellas dactilares) se almacena en el chip , y el registro y la comparación se realizan directamente en el chip. Como los patrones de huellas dactilares nunca salen del chip, se eliminan las preocupaciones sobre la privacidad ya que los datos biométricos se almacenan de forma segura. Esto también evita ataques que implican el envío de una imagen de huella digital válida al servidor para su comparación.
Sin embargo, Blackwell logró eludir el sistema utilizando ingeniería inversa para encontrar una vulnerabilidad en el sensor de huellas dactilares y luego creó su propio dispositivo USB para realizar un ataque de intermediario (MitM). Este dispositivo permite al grupo eludir el hardware de autenticación de huellas dactilares en esos dispositivos.
También según Blackwell, aunque Microsoft utiliza el Protocolo de conexión de dispositivos seguros (SDCP) para proporcionar un canal seguro entre el servidor y el dispositivo biométrico, dos de los tres sensores de huellas dactilares probados ni siquiera tenían SDCP habilitado. Blackwell recomienda que todas las empresas de sensores de huellas dactilares no solo habiliten SDCP en sus productos, sino que también contraten a una empresa externa para garantizar su funcionamiento.
Una cosa a tener en cuenta es que a Blackwell le llevó alrededor de 3 meses de arduo trabajo superar estos productos de hardware de huellas dactilares. Todavía no está claro cómo Microsoft y otras empresas de sensores de huellas dactilares solucionarán el problema basándose en esta investigación.
[anuncio_2]
Enlace de origen
![[Foto] El Primer Ministro Pham Minh Chinh recibe al Sr. Jefferey Perlman, Director Ejecutivo de Warburg Pincus Group (EE. UU.)](https://vstatic.vietnam.vn/vietnam/resource/IMAGE/2025/4/18/c37781eeb50342f09d8fe6841db2426c)
Kommentar (0)