माइक्रोसॉफ्ट का आक्रामक अनुसंधान और सुरक्षा इंजीनियरिंग (मोर्स) ने साइबर सुरक्षा कंपनी से अपने फिंगरप्रिंट सेंसर की सुरक्षा का मूल्यांकन करने के लिए कहा। अक्टूबर में, शोधकर्ताओं ने तकनीकी दिग्गज के ब्लूहैट सम्मेलन में एक प्रस्तुति में अपने निष्कर्ष प्रदान किए। फ़िंगरप्रिंट सेंसर अब विंडोज़ लैपटॉप उपयोगकर्ताओं द्वारा व्यापक रूप से उपयोग किए जाते हैं। माइक्रोसॉफ्ट ने पासवर्ड रहित भविष्य के लिए विंडोज हैलो को भी आगे बढ़ाया है।
कुछ साल पहले, माइक्रोसॉफ्ट ने खुलासा किया था कि लगभग 85% उपभोक्ता पासवर्ड का उपयोग करने के बजाय विंडोज 10 उपकरणों में साइन इन करने के लिए विंडोज हैलो का उपयोग कर रहे थे। यह ध्यान रखना महत्वपूर्ण है कि माइक्रोसॉफ्ट एक साधारण पिन को भी विंडोज हैलो के रूप में गिनता है।
विंडोज़ हैलो प्रमाणीकरण प्रणाली में कमजोरियाँ
सुरक्षा टीम ने लोकप्रिय फ़िंगरप्रिंट सेंसर की पहचान की गुडिक्स, सिनैप्टिक्स और ईएलएएन अनुसंधान के लक्ष्य के रूप में। एक ब्लॉग पोस्ट में, कंपनी ने बताया कि मैन-इन-द-मिडिल (एमआईटीएम) हमले को अंजाम देने के लिए यूएसबी डिवाइस कैसे बनाया जा सकता है। ऐसा हमला चोरी हुए लैपटॉप तक पहुंच प्रदान कर सकता है, या यहां तक कि किसी अप्राप्य डिवाइस पर “दुष्ट नौकरानी” का हमला भी हो सकता है।
Dell Inspiron 15, Lenovo ThinkPad T14 और सहित लैपटॉप मॉडल माइक्रोसॉफ्ट सर्फेस प्रो एक्स
फ़िंगरप्रिंट रीडर हमलों से प्रभावित थे। इसने शोधकर्ताओं को विंडोज हैलो सुरक्षा को बायपास करने की अनुमति दी, जब तक कि फिंगरप्रिंट प्रमाणीकरण पहले डिवाइस पर स्थापित किया गया था।
अनुसंधान टीम ने सॉफ़्टवेयर और हार्डवेयर दोनों को रिवर्स-इंजीनियर किया और सिनैप्टिक्स सेंसर पर एक कस्टम टीएलएस में क्रिप्टोग्राफ़िक कार्यान्वयन त्रुटियों की खोज की। विंडोज़ हैलो को बायपास करने की जटिल प्रक्रिया में मालिकाना प्रोटोकॉल को डिकोड करना और फिर से लागू करना भी शामिल था।
यह पहली बार नहीं है कि विंडोज़ हैलो बायोमेट्रिक्स-आधारित प्रमाणीकरण को बायपास किया गया है। 2021 में, विंडोज हैलो के चेहरे की पहचान सुविधा को खराब करने के लिए एक पीड़ित की इन्फ्रारेड छवि को कैप्चर करने से संबंधित एक प्रूफ-ऑफ-कॉन्सेप्ट सामने आने के बाद कंपनी को विंडोज हैलो प्रमाणीकरण बाईपास भेद्यता को ठीक करने के लिए मजबूर होना पड़ा।