Forskare lyckades bryta igenom Windows Hellos fingeravtrycksskanningar, men det är inte så skrämmande som man först tror.
Det är enkelt att logga in på en bärbar Windows-dator med en fingeravtrycksläsare; placera bara fingret på en skanner så släpper operativsystemet dig in. Men forskare har visat att även om den här metoden är bekväm, är den inte hacksäker.
Så, hur kan folk hacka sig förbi en Windows Hello fingeravtrycksskanning, och bör du oroa dig för det?
Kan människor hacka Windows Hello fingeravtrycksläsare?
Om en hackare vill kringgå en fingeravtrycksläsare på en Windows-maskin, siktar de på att komma förbi en tjänst som heter Windows Hello. Den här tjänsten hanterar hur du loggar in i Windows, såsom PIN-koder, ansiktsskanningar och fingeravtrycksskanningar.
Som en del av forskningen om Windows Hellos styrka, två hackare med vita hattar, Jesse D'Aguanno och Timo Teräs, publicerade en rapport på sin hemsida, Blackwing HQ. Rapporten beskriver hur de har brutit mot tre populära enheter: Dell Inspiron 15, Lenovo ThinkPad T14 och Microsoft Surface Pro Type Cover.
Hur hackarna bröt mot Windows Hello på Dell Inspiron 15
För Dell Inspiron 15 märkte hackarna att de kunde starta upp Linux på den bärbara datorn. När de väl är inloggade på Linux kan de registrera sina fingeravtryck i systemet och ge det samma ID som den Windows-användare de vill logga in på.
Sedan utför de en man-in-the-middle-attack på anslutningen mellan PC: n och sensorn. De ställer in det så att när Windows går för att dubbelkolla att ett skannat fingeravtryck är legitimt, slutar det med att det kontrollerar Linux-databasen med fingeravtryck istället för sitt eget.
För att undvika Windows Hello laddade hackarna upp sina fingeravtryck till Linux-databasen, tilldelade den samma ID som användaren på Windows och försökte sedan logga in i Windows med sina fingeravtryck. Under autentiseringsprocessen omdirigerade de paketet till Linux-databasen, som berättade för Windows att användaren med angivet ID var redo att logga in.
Hur hackarna bröt mot Windows Hello på Lenovo ThinkPad T14
För Lenovo ThinkPad upptäckte hackarna att den bärbara datorn använde en anpassad krypteringsmetod för att verifiera fingeravtryck. Med lite arbete lyckades hackarna dekryptera det, vilket gav dem en väg in i fingeravtrycksverifieringsprocessen.
När det är klart kan hackarna tvinga fingeravtrycksdatabasen att acceptera deras fingeravtryck som användarens. Sedan behövde de bara skanna sitt fingeravtryck för att komma åt Lenovo ThinkPad.
Hur hackarna bröt mot Windows Hello på Microsoft Surface Pro Type Cover
Hackarna trodde att Surface Pro skulle vara den svåraste enheten att knäcka, men de blev förvånade över att finna att Surface Pro saknade många säkerhetsåtgärder för att kontrollera giltiga fingeravtryck. Faktum är att de upptäckte att de bara behövde smita förbi ett försvar, sedan berätta för Surface Pro att fingeravtrycksskanningen lyckades och enheten släppte in dem.
Vad betyder dessa hacks för dig?
Dessa hack kan låta ganska skrämmande om du använder fingeravtryck för att logga in på din bärbara dator. Det är dock viktigt att komma ihåg några viktiga saker innan du avstår från fingeravtrycksskanning helt.
1. Attackerna utfördes av skickliga hackare
Anledningen hot som ransomware som en tjänst är så dödliga är att alla med minimal cybersäkerhet kan använda dem. Ovanstående hack kräver dock en hög nivå av expertis, med en djup förståelse för hur enheter autentiserar fingeravtryck och hur man undviker dem.
2. Attackerna kräver att angriparen fysiskt interagerar med enheten
Hackarna måste ha fysisk kontakt med enheten för att utföra ovanstående hack. I rapporten uppgav hackarna att de kanske skulle kunna skapa USB-enheter som kan utföra attack en gång ansluten, men det betyder att en potentiell angripare måste ansluta något till din dator hacka den.
3. Attackerna fungerar endast på specifika enheter
Du kommer att märka att varje attack var tvungen att ta en annan väg för att uppnå samma mål. Varje enhet är unik, och ett hack som fungerar på en enhet kanske inte fungerar på en annan. Som sådan bör du inte tro att Windows Hello nu har blåst upp på vid gavel på alla enheter; det är bara dessa tre som misslyckades.
Även om dessa hack kan låta skrämmande, kommer de att vara utmanande att utföra mot faktiska mål. Hackaren kommer sannolikt att behöva stjäla enheten för att utföra dessa hack, vilket utan tvekan skulle varna den tidigare ägaren.
Hur man håller sig säker från fingeravtryckshackning
Som nämnts ovan är de upptäckta hacken komplicerade att utföra och kan kräva att hackaren tar bort enheten för att hacka sig in i den fysiskt. Som sådan finns det en extremt liten chans att dessa attacker kommer att rikta dig personligen.
Men om du fortfarande inte är nöjd finns det några sätt att skydda dig från fingeravtrycksläsare:
1. Lämna inte enheter obevakade och oskyddade
Eftersom en hackare kommer att behöva interagera med din enhet fysiskt bör du se till att den inte hamnar i fel händer. För datorer kan du vidta åtgärder för att förhindra att den blir stulen. Om du använder en bärbar dator, lämna den aldrig ensam i ett offentligt utrymme och använd en stöldskyddad bärbar datorväska för att hindra folk från att slita upp din väska.
2. Använd en annan inloggningsmetod
Windows Hello stöder många olika inloggningsmetoder, vissa säkrare än andra. Om du har blivit kär i fingeravtrycksskanningar, kolla om ansikts-, iris-, fingeravtrycks-, PIN- eller lösenordsinloggningar är säkrare, och välj en som passar dig bäst.