El lector de huellas de tu laptop podría no ser tan seguro como pensabas
Un grupo de expertos detectó fallos importantes de seguridad en el sistema de bloqueo con huella dactilar que permiten poder acceder a los equipos con Windows
La seguridad de la autenticación de huellas dactilares en las computadoras portátiles con sistema operativo Windows ha sido comprometida, según revelan los hallazgos de los investigadores de seguridad de Blackwing Intelligence. Este problema afecta a dispositivos de marcas prominentes como Dell, Lenovo y Microsoft, poniendo de manifiesto vulnerabilidades en los sensores de huellas dactilares utilizados para la autenticación mediante Windows Hello.
La Ingeniería de Seguridad e Investigación Ofensiva (MORSE) de Microsoft encomendó a Blackwing Intelligence la tarea de evaluar la seguridad de los sensores de huellas dactilares. Los investigadores presentaron sus descubrimientos en la conferencia BlueHat de Microsoft, destacando las vulnerabilidades en los sensores de Goodix, Synaptics y ELAN.
Dell Inspiron 15, Lenovo ThinkPad T14 y Microsoft Surface Pro X fueron víctimas de ataques exitosos al lector de huellas digitales. Estos ataques permitieron a los investigadores eludir la protección de Windows Hello, demostrando la posibilidad de acceder a una computadora portátil robada o ejecutar un ataque de “criada malvada” en un dispositivo desatendido.
Fallas de seguridad
La investigación reveló fallas de implementación criptográfica en un TLS personalizado en el sensor Synaptics. El proceso para evadir Windows Hello implicó ingeniería inversa tanto del software como del hardware, con la decodificación y reimplementación de protocolos propietarios.
Microsoft ha impulsado el uso de sensores de huellas dactilares a través de Windows Hello, con el objetivo de crear un entorno sin contraseñas. Hace tres años, Microsoft informó que aproximadamente el 85 por ciento de los usuarios preferían utilizar Windows Hello en lugar de contraseñas para iniciar sesión en dispositivos con Windows 10.
Este no es el primer revés para la autenticación biométrica de Windows Hello. En 2021, Microsoft corrigió una vulnerabilidad relacionada con la captura de imágenes infrarrojas para falsificar el reconocimiento facial de Windows Hello. Sin embargo, los recientes hallazgos de Blackwing Intelligence plantean nuevos desafíos.
Los investigadores señalan que, aunque Microsoft diseñó el Protocolo de Conexión Segura de Dispositivos (SDCP) para proporcionar un canal seguro entre el host y los dispositivos biométricos, algunos fabricantes malinterpretaron sus objetivos. Además, SDCP tiene un alcance limitado, dejando expuesta una considerable superficie de ataque en la operación de dispositivos que no cubre.
Blackwing Intelligence recomienda a los fabricantes de equipos originales (OEM) asegurarse de que SDCP esté habilitado y auditar la implementación del sensor de huellas dactilares con la ayuda de expertos cualificados. Además, se están explorando ataques de corrupción de memoria en el firmware del sensor, no solo en dispositivos Windows, sino también en sistemas Linux, Android y Apple.
La seguridad de la autenticación de huellas dactilares en Windows Hello se ve comprometida por vulnerabilidades identificadas por Blackwing Intelligence. Ante estos desafíos, es crucial que los fabricantes y Microsoft trabajen de la mano para abordar y solucionar estas vulnerabilidades, garantizando la protección de los usuarios de computadoras portátiles con sistema operativo Windows.
Sigue leyendo:
– Hackers de sombrero blanco qué son y por qué son más importante de lo que puedes llegar a creer
– El atraco de Lazarus: el robo de $14 millones de dólares que hackers llevaron a cabo en dos horas en cajeros automáticos alrededor del mundo
– ¿Por qué solo se habla del hackeo sistemático de Rusia, China o Irán y no del de EE.UU. y el resto de Occidente?