Pengguna Windows senang melihat perangkat dengan sistem otentikasi biometrik berbasis sidik jari, mirip dengan Touch ID yang ada pada laptop dan komputer Apple. Namun, masalahnya adalah bahwa hal-hal tidak berjalan sebaik di Windows, karena ditemukan kerentanan Windows Hello pada otentikasi sidik jari di laptop kelas atas.
Peneliti keamanan mengungkapkan sistem otentikasi sidik jari Windows Hello, hadir di tiga laptop terpopuler Windows, tidak memberikan tingkat keamanan yang diharapkan. Atas permintaan Microsoft, perusahaan keamanan siber Blackwing Intelligence melakukan uji penetrasi dan menemukan bahwa ketiga laptop tersebut gagal dalam pengujian tersebut.
Meskipun Microsoft Surface telah diuji, ternyata Microsoft Surface adalah yang paling rentan dari ketiganya modemengujinya, memungkinkan bypass otentikasi biometrik sidik jari dengan mudah Windows Hello.
Tim peneliti Microsoft (MORSE) secara eksplisit meminta penilaian keamanan untuk sensor sidik jari berkinerja terbaik yang tertanam di laptop, namun hasilnya menunjukkan beberapa kerentanan berhasil dieksploitasi oleh tim. Setiap laptop, termasuk Dell Inspiron 15 dan Lenovo ThinkPad T14, memerlukan pendekatan berbeda untuk menghindari protokol keamanan yang ada.
Kerentanan ini Windows Hello tentang otentikasi sidik jari menekankan pentingnya peningkatan sistem otentikasi untuk memastikan peningkatan tingkat keamanan.
Cuprin
Kerentanan Windows Hello pada otentikasi sidik jari di Dell Inspiron 15
Dell Inspiron 15 menghadirkan kerentanan yang signifikan Windows Hello untuk otentikasi sidik jari. Saat perangkat dihidupkan Windows, ini mengikuti protokol keamanan penuh, termasuk Secure Device Connection Protocol (SDCP). Protokol ini melakukan pemeriksaan penting, seperti memastikan bahwa host berkomunikasi dengan perangkat tepercaya dan data sidik jari tidak disimpan atau diteruskan. Namun, tim yang menguji kerentanannya Windows Hello memperhatikan itu saat mengakses pembaca sidik jari di Windows menggunakan SDCP, akses ke Linux bukan. Dan mereka mendapat ide.
Dengan memulai perangkat target di Linux dan penggunaan sampingan Linux untuk memasukkan sidik jari penyerang ke dalam database dengan menentukan ID yang sama dengan pengguna sah yang masuk melalui Windows, tim mengidentifikasi kerentanan. Meskipun upaya ini pada awalnya tidak berhasil, karena ditemukannya database on-chip yang terpisah Windows şi Linux, adalah mungkin untuk menentukan caranya Windows tahu database mana yang harus diakses dan mampu mengarahkannya ke database yang ada Linux.
Hal ini membuka jalan bagi solusi berikutnya, yang melibatkan serangan Man in the Middle (MitM). Berikut langkah-langkah kerentanan ini Windows Hello pada otentikasi sidik jari aktif Dell Inspiron 15.
1. Sistem dihidupkan Linux.
2. ID yang valid dicantumkan. Jadi yang bisa diotorisasi ditentukan.
3. Pendaftaran sidik jari penyerang dilakukan menggunakan ID yang sama dengan pengguna yang sah Windows.
4. Ketik serangan Man in the Middle (MitM) pada koneksi antara host dan sensor.
5. Mulai sistem Windows.
6. Mencegat dan menulis ulang paket konfigurasi agar mengarah ke database Linux menggunakan serangan MitM.
7. Otentikasi dilakukan sebagai pengguna yang sah dengan sidik jari penyerang.
Sebuah metode yang relatif sederhana untuk tipe pengguna yang memiliki pengetahuan rata-rata tentang arsitektur sistem operasi Linux dan sistem Windows.
Sedangkan untuk Microsoft Surface Pro 8/X, kerentanannya bahkan lebih mudah untuk dieksploitasi.
Kerentanan Fingerprint ID pada Microsoft Surface Pro Type Cover
Mengenai kerentanan yang diidentifikasi pada Microsoft Surface Pro Type Cover dengan ID Sidik Jari, tim peneliti memperkirakan produk resmi Microsoft akan menghadirkan tingkat kesulitan tertinggi, namun mereka terkejut ketika menemukan keamanan yang sangat lemah. Dalam kasus ini, kurangnya Secure Device Connection Protocol (SDCP) terlihat jelas, bersamaan dengan komunikasi USB teks biasa (tidak terenkripsi) dan tidak adanya otentikasi.
Dengan kurangnya keamanan ini, tim menemukan bahwa mereka cukup mencabut sensor sidik jari dan mencolokkannya ke perangkat mereka sendiri untuk menirunya. Prosedurnya terdiri dari melepas Type Cover (pengemudi tidak dapat menangani dua sensor yang terhubung, menjadi tidak stabil), menghubungkan perangkat penyerang, mempromosikan VID/PID sensor, mengamati SID yang valid dari pengemudi Windows, melewati cek "how many fingerprints” dan memulai otentikasi Sidik Jari pada sistem Windows, diikuti dengan mengirimkan Respons Login yang Valid dari perangkat palsu.
Kesimpulannya, kerentanan ini Windows Hello tentang otentikasi sidik jari menunjukkan kerentanan signifikan yang mungkin ada dalam penerapan sistem otentikasi biometrik.
Terkait: Cara menonaktifkan otentikasi dengan Windows Hello PIN, Wajah dan Sidik Jari di Windows 10
Apa itu Windows Hello?
Pertama kali diperkenalkan dengan dirilisnya sistem operasi Windows 10 dan terus menyediakan fungsionalitas yang ditingkatkan pada komputer desktop dan laptop Windows 11, Windows Hello adalah cara yang lebih cepat dan aman untuk mendapatkan akses instan ke perangkat Windows.
Sistem otentikasi tingkat lanjut ini memberi Anda kemampuan untuk mengakses perangkat Anda Windows 11 menggunakan kode PIN, pengenalan wajah atau sidik jari. Untuk memanfaatkan opsi ini, Anda perlu menyiapkan kode PIN selama inisialisasi sidik jari atau pengenalan wajah, namun Anda juga dapat mengautentikasi hanya dengan PIN Anda.
Opsi ini tidak hanya membuat proses masuk ke PC Anda jauh lebih mudah, namun juga membuatnya lebih aman, karena PIN Anda hanya dikaitkan dengan satu perangkat dan dicadangkan untuk pemulihan melalui akun Microsoft Anda.
