Op deze laptops is de vingerafdrukscanner onveilig
Beveiligingsonderzoekers van het Amerikaanse bedrijf Blackwing hebben de vingerafdrukherkenning op laptops van Dell, Lenovo en Microsoft weten te omzeilen.
Normaal gesproken is Windows Hello best slim. Het systeem gebruikt vingerafdruksensoren die werken op een manier die 'match on chip' wordt genoemd. Dat betekent dat de vingerafdrukcontrole op de chip van de sensor zelf plaatsvindt. Er is een soort computer in de sensor die alles regelt, zodat je vingerafdruk nooit het systeem verlaat. Het maakt in feite een soort veilige tunnel alleen voor jouw vingerafdruk.
De onderzoekers hebben een manier gevonden om deze slimme beveiliging te omzeilen. Ze ontdekten dat op twee van de drie laptops een extra beveiliging genaamd het Secure Device Connection Protocol (SDCP) niet was ingeschakeld. Dit protocol moet ervoor zorgen dat de sensor wordt vertrouwd en dat alle informatie veilig blijft.
Raspberry Pi
Ze konden de vingerafdruksensor 'voor de gek houden' door gebruik te maken van een Raspberry Pi, een mini-computer. Ze haalden de sensor even los, plaatsten de Raspberry Pi ertussen en deden alsof ze geldige vingerafdrukken invoerden. Hierdoor konden ze zichzelf laten lijken op een legitieme gebruiker en inloggen op de computer.
Nu willen de onderzoekers dat de fabrikanten, zoals Dell, Lenovo en Microsoft, extra stappen nemen om dit soort zaken te voorkomen. Ze stellen bijvoorbeeld voor om dat SDCP-protocol in te schakelen, wat de extra beveiligingslaag is die eigenlijk had moeten voorkomen dat dit gebeurt.
In opdracht van Microsoft
De onderzoekers werden door Microsoft betaald om manieren te vinden om de laptops te kraken. Dat is niet ongebruikelijk. Op die manier moeten de producten van het bedrijf veiliger worden gemaakt. Het budget om hackers te betalen is hoog: de afgelopen tien jaar betaalde Microsoft al zo’n 60 miljoen dollar uit.
Van de onderzochte apparaten bleek de Type Cover voor de Surface Pro 8 en Pro X van Microsoft zelf het makkelijkst te omzeilen.
De onderzoekers willen bij een vervolgonderzoek ook de firmware van de sensoren doorlichten, omdat de kwaliteit van de code 'over het algemeen slecht' leek te zijn. Ook zeggen ze te willen kijken naar de toepassing van vingerafdrukherkenning bij Linux, Android en Apple-apparaten.
Mis niks, volg ons WhatsApp-kanaal of meld je aan voor onze nieuwsbrief.