微软、戴尔和联想笔记本电脑的 Windows Hello 验证被绕过

安全研究人员利用嵌入式指纹传感器中发现的安全漏洞，在戴尔Inspiron、联想ThinkPad和微软Surface Pro X笔记本电脑上绕过了Windows Hello指纹验证。

Blackwing Intelligence的安全研究人员在微软进攻性研究和安全工程（MORSE）赞助的研究中发现了这些漏洞，该研究旨在评估Windows Hello指纹验证使用的三大嵌入式指纹传感器的安全性。

Blackwing 的 Jesse D'Aguanno 和 Timo Ter?s 针对微软 Surface Pro X、联想 ThinkPad T14 和戴尔 Inspiron 15 上由 ELAN、Synaptics 和 Goodix 制造的嵌入式指纹传感器进行了测试。

所有测试的指纹传感器都是片上匹配（MoC）传感器，拥有自己的微处理器和存储空间，可以在芯片内安全地进行指纹匹配。

不过，虽然 MoC 传感器可以防止将存储的指纹数据重放至主机进行匹配，但它们本身并不能阻止恶意传感器模仿合法传感器与主机进行通信。这可能会错误地显示用户身份验证成功，或重放先前观察到的主机与传感器之间的通信。

为了抵御利用这些弱点的攻击，微软开发了安全设备连接协议（SDCP），该协议本应确保指纹设备是可信的、健康的，并确保指纹设备和主机之间的输入在目标设备上受到保护。

尽管如此，安全研究人员还是在所有三台笔记本电脑上使用中间人（MiTM）攻击，利用定制的 Linux 驱动的 Raspberry Pi 4 设备，成功绕过了 Windows Hello 身份验证。

在整个过程中，他们使用了软件和硬件逆向工程，破解了 Synaptics 传感器定制 TLS 协议中的加密实现缺陷，并解码和重新实现了专有协议。

在戴尔和联想笔记本电脑上，通过枚举有效 ID 和使用合法 Windows 用户的 ID 注册攻击者的指纹（Synaptics 传感器使用自定义 TLS 堆栈而不是 SDCP 来确保 USB 通信安全），实现了身份验证绕过。

对于Surface设备，其ELAN指纹传感器没有SDCP保护，使用明文USB通信，也没有身份验证，他们在断开包含传感器的Type Cover连接后欺骗了指纹传感器，并从欺骗的设备发送了有效的登录响应。

"研究人员说："微软在设计 SDCP 以在主机和生物识别设备之间提供安全通道方面做得很好，但不幸的是，设备制造商似乎误解了其中的一些目标。

"此外，SDCP 只覆盖了典型设备非常狭窄的操作范围，而大多数设备都暴露出了相当大的攻击面，SDCP 根本没有覆盖这些攻击面。"

Blackwing Intelligence发现，在三台目标笔记本电脑中，有两台甚至没有启用安全设备连接协议（SDCP），因此建议生产生物识别身份验证解决方案的供应商确保启用SDCP，因为如果不开启SDCP，将无助于挫败攻击。

微软表示，三年前，使用Windows Hello而不是密码登录Windows 10设备的用户数量从2019年的69.4%增长到了84.7%