اختراق ميزة الدخول بالبصمة على حواسيب ويندوز

مايكروسوفت سمحت للباحثين باستكشاف الثغرات الأمنية في نظامها الأمني Windows Hello

time reading iconدقائق القراءة - 3
مستشعر بصمة الإصبع على متن حاسوب مايكروسوفت سيرفيس إكس برو - Microsoft
مستشعر بصمة الإصبع على متن حاسوب مايكروسوفت سيرفيس إكس برو - Microsoft
القاهرة-الشرق

نجح مجموعة من الباحثين في تخطي إجراءات الحماية والأمان الخاصة بميزة Windows Hello لتسجيل الدخول على الحواسيب العاملة بنظام تشغيل ويندوز، من شركات ديل ولينوفو، وحتى حواسيب مايكروسوفت نفسها.

وقد أشارت شركة بلاك وينج إنتيليجينس الأمنية أن باحثيها استطاعوا اكتشاف عدة ثغرات أمنية في نظام تسجيل الدخول باستخدام بصمة الإصبع على حواسيب ويندوز، التي تعتمد على مستشعرات قراءة البصمة من كبرى الشركات مثل جوديكس وسينابتيكس وإيلان، وجاء ذلك في إطار عرض تفاعلي للشركة خلال مؤتمر مايكروسوفت للأمن المعلوماتي BlueHat 2023.

أشار التقرير إلى أن الثغرة الجديدة تتمثل خطورتها في الانتشار الواسع لاستخدام مستشعرات البصمات محل الاختبار على متن حواسيب شخصية مستخدمة بكثرة من جانب شركات قطاع الأعمال.

جاء هذا الاكتشاف في ضوء تعاون قطاع مايكروسوفت MORSE للبحوث الهجومية والهندسة الأمنية مع بلاك وينج إنتيليجينس لتقييم مستوى التأمين الذي تقدمه مستشعرات قراءة بصمات الأصابع.

مفتاح USB

واعتمد فريق الباحثين من بلاك وينج إنتيليجينس على تطوير مفتاح USB قادر على تنفيذ هجوم إلكتروني بأسلوب "الرجل في المنتصف Man-in-the-MIddle" على حواسيب الضحايا، مما يسهل النفاذ إلى الحواسيب المسروقة أو كذلك انتهاك خصوصية صاحب الحاسوب، عند عدم تواجده بجواره.

واستهدف الباحثون 3 حواسيب، وهم ديل إنسبايرون 15، ولينوفو ثينك باد تي 14، ومايكروسوفت سيرفيس برو إكس، وقد نجح أسلوبهم الفريد ضدها، حيث استطاعوا تخطي ميزة Windows Hello ومستشعر البصمة المُدمج داخل الحواسيب، إلى جانب نجاح الأسلوب في تخطي قارئ بصمة إصبع منفصل.

ونجح الباحثون في إجراء عملية هندسة عكسية لطريقة عمل الأجزاء البرمجية في نظام "ويندوز هاللو"، وكذلك المكونات المادية الخاصة بقراءة بصمة الإصبع، إلى جانب اكتشاف ثغرات أمنية في طريقة تشفير مستشعر شركة "سينابتيكس" لبيانات بصمات الأصابع.

وركز الباحثون في تقريرهم المفصل على أن الثغرات ترجع إلى مشاكل في طريق تشفير مصنعي أجهزة قراءة البصمات للبيانات على متن أجهزتهم، مما يفسح مجالاً واسعاً أمام المخترقين لاستهداف واختراق تلك الأجهزة، بينما أشاد الباحثون ببروتوكول طورته مايكروسوفت، يحمل اسم Secure Device Connection Protocol، لتأمين بيانات البصمات عبر حواسيب ويندوز.

وكانت شركة مايكروسوفت أعلنت في 2020 أن قرابة 85% من مستخدمي حواسيب ويندوز 10 يستخدمون بصمات الوجوه أو الأصابع، دون الاعتماد على كلمات المرور التقليدية، لتسجيل الدخول إلى حواسيبهم.

وتخطي ميزة بصمة الوجوه على نظام "ويندوز هاللو" ليست واقعة جديدة، حيث نجح عدد من الباحثين في 2021 التحايل على نظام التعرف على الوجوه، باستخدام صورة ملتقطة بالأشعة تحت الحمراء لوجه الضحية، فاستطاعوا التلاعب بالنظام وتسجيل الدخول لحاسوب الضحية.

تصنيفات

قصص قد تهمك