تمكن باحثون من شركة “بلاك وينج إنتيليجينس الأمنية”، من اختراق إجراءات الحماية والأمان الخاصة بميزة Windows Hello لتسجيل الدخول على الحواسيب العاملة بنظام تشغيل ويندوز، من شركات ديل ولينوفو، وحتى حواسيب مايكروسوفت نفسها.
واكتشف الباحثون عدة ثغرات أمنية في نظام تسجيل الدخول باستخدام بصمة الإصبع على حواسيب ويندوز، التي تعتمد على مستشعرات قراءة البصمة.
جاء ذلك في إطار عرض تفاعلي للشركة خلال مؤتمر مايكروسوفت للأمن المعلوماتي BlueHat 2023، وفي ضوء تعاون قطاع مايكروسوفت MORSE للبحوث الهجومية والهندسة الأمنية مع بلاك وينج إنتيليجينس لتقييم مستوى التأمين الذي تقدمه مستشعرات قراءة بصمات الأصابع.
وتتمثل خطورة الثغرة الجديدة في الانتشار الواسع لاستخدام مستشعرات البصمات محل الاختبار على متن حواسيب شخصية مستخدمة بكثرة من جانب شركات قطاع الأعمال.
واعتمد فريق الباحثين من بلاك وينج إنتيليجينس على تطوير مفتاح USB قادر على تنفيذ هجوم إلكتروني بأسلوب “الرجل في المنتصف Man-in-the-MIddle” على حواسيب الضحايا، مما يسهل النفاذ إلى الحواسيب المسروقة أو كذلك انتهاك خصوصية صاحب الحاسوب، عند عدم تواجده بجواره.
واستهدف الباحثون 3 حواسيب، وهم ديل إنسبايرون 15، ولينوفو ثينك باد تي 14، ومايكروسوفت سيرفيس برو إكس، ونجحوا في تخطي ميزة Windows Hello ومستشعر البصمة المُدمج داخل الحواسيب، إلى جانب نجاح الأسلوب في تخطي قارئ بصمة إصبع منفصل.
كما نجح الباحثون في إجراء عملية هندسة عكسية لطريقة عمل الأجزاء البرمجية في نظام “ويندوز هاللو”، وكذلك المكونات المادية الخاصة بقراءة بصمة الإصبع، إلى جانب اكتشاف ثغرات أمنية في طريقة تشفير مستشعر شركة “سينابتيكس” لبيانات بصمات الأصابع.
وركز الباحثون في تقريرهم على أن الثغرات ترجع إلى مشاكل في طريق تشفير مصنعي أجهزة قراءة البصمات للبيانات على متن أجهزتهم، مما يفسح مجالاً واسعاً أمام المخترقين لاختراق تلك الأجهزة.
بينما أشاد الباحثون ببروتوكول طورته مايكروسوفت، يحمل اسم Secure Device Connection Protocol، لتأمين بيانات البصمات عبر حواسيب ويندوز.