Защиту Windows Hello с использованием сканеров отпечатков пальцев удалось обойти — уязвимости обнаружились на ноутбуках Dell, Lenovo и даже Microsoft. Эксперты по безопасности из компании Blackwing Intelligence обнаружили бреши защиты в сканерах отпечатков пальцев трёх крупнейших производителей — эти компоненты встраиваются в ноутбуки и широко используются предприятиями с системой аутентификации Windows Hello.

Источник изображения: Gerd Altmann / pixabay.com

Исследование Blackwing Intelligence проводилось по заказу подразделения Microsoft MORSE: компании было поручено оценить защиту сканеров отпечатков пальцев, и она представила свои выводы на конференции Microsoft BlueHat в октябре. В качестве объектов исследования были выбраны сканеры Goodix, Synaptics и ELAN — они оказались недостаточно защищёнными, а исследователи подробно описали процесс создания USB-устройства для осуществления атаки класса MitM (man-in-the-middle).

Эксперты осуществили взлом защищённых при помощи сканера отпечатков пальцев ноутбуков Dell Inspiron 15, Lenovo ThinkPad T14 и Microsoft Surface Pro X. Они провели реверс-инжинирнг программного и аппаратного компонентов защиты и обнаружили, в частности, уязвимости в криптографической реализации TLS на сканере Synaptics. При обходе защиты Windows Hello проводилось декодирование и повторное внедрение проприетарных протоколов. «Microsoft проделала хорошую работу при создании протокола безопасного подключения устройств (SDCP) для обеспечения безопасного канала между хостом и биометрическими устройствами, но, к сожалению, производители устройств, кажется, неверно понимают некоторые цели. Кроме того, SDCP покрывает лишь узкую область операций типичного устройства, а поверхность атаки на большинство устройств вообще не покрывалась SDCP», — прокомментировали своё открытие эксперты Blackwing Intelligence.

Исследователи обнаружили, что на двух из трёх целевых устройствах защита Microsoft SDCP вообще не была включена. В этой связи производителям ноутбуков рекомендовали убеждаться, что протокол SDCP активирован и проводить проверку реализации сканера отпечатков пальцев при участии квалифицированного эксперта. Blackwing Intelligence также изучили уязвимости прошивок на сканерах к атакам с нарушением целостности памяти, а также защищённость сканеров отпечатков пальцев на продукции Apple и устройствах под управлением Linux и Android.

В скором времени в браузере Google Chrome появится 5 новых функций для упрощения работы с паролями. Менеджер паролей Chrome получит отдельную вкладку в настройках , возможность создавать заметки к паролям, упрощённый импорт из других менеджеров паролей, совместимость с iOS и самое главное — биометрическую аутентификацию.

Источник изображений: Google

Менеджер по продуктам Патрик Неппер (Patrick Nepper) написал в блоге компании: «Менеджер паролей Google мгновенно генерирует уникальные пароли и автоматически заполняет их при входе в аккаунт Google в Chrome с компьютера, устройства Android или iOS. Сегодня мы представляем пять новых функций, которые сделают менеджер паролей ещё более безопасным, полезным и простым в использовании».

Менеджер паролей Google получит выделенное место в настройках Chrome, что упростит переход к сохраненным учетным данным в интернете или изменению настроек паролей. Перейти к нему можно будет, выбрав настройку «Менеджер паролей» в меню Chrome или открыв настройки Chrome и выбрав раздел «Автозаполнение и пароли». Для еще более быстрого доступа можно будет даже создать специальный ярлык на рабочем столе Windows.

Следующая новинка — биометрическая аутентификация. Менеджер паролей Google уже поддерживает эту функцию на мобильных устройствах, но теперь она появится и на настольных компьютерах, так что пользователи ПК смогут проходить аутентификацию с помощью Windows Hello.

С заметками о паролях пользователь сможет добавить примечание к любому паролю, сохранённому в менеджере паролей Google. Это может быть полезно, если используется несколько учётных записей для одного сайта или необходимо сохранить PIN-код, название аккаунта или любые другие данные, связанные с учётной записью.

Долгое время в Chrome были ограниченные возможности импорта паролей. Теперь появится возможность импортировать пароли из других менеджеров паролей в формате CSV с помощью настольной версии Chrome. Инструкции по экспорту из различных менеджеров паролей можно найти на сайте компании.

Наконец, функция Password Checkup появится на устройствах с iOS. Данная функция обеспечения безопасности сохранённых паролей есть на настольных компьютерах и в Android. Она сообщит, если какой-либо из них был взломан, является слабым или используется повторно, и поможет исправить возникшие проблемы.