主流指纹传感器曝高危安全漏洞，可绕过微软Hello登录认证

最近的网络安全研究中发现了多个高危安全漏洞，这些漏洞可被用来绕过Dell Inspiron 15、Lenovo ThinkPad T14 和 Microsoft Surface Pro X 笔记本电脑上的Windows Hello 身份验证。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，安全研究人员发现了嵌入到设备中的 Goodix、Synaptics 和 ELAN 这3个指纹传感器的安全漏洞。指纹识别传感器利用的先决条件是目标笔记本电脑的用户已经设置了指纹身份验证。

所有这3个指纹传感器都是一种称为 MoC 的传感器，它将匹配和其他生物识别管理功能直接集成到传感器的集成电路中。

虽然 MoC 阻止将存储的指纹数据重放到主机进行匹配，但它本身并不能阻止恶意传感器欺骗合法传感器与主机的通信并错误地声称授权用户已成功通过身份验证。

MoC 也不会阻止主机和传感器之间先前记录的流量的重放。

尽管微软创建的安全设备连接协议（SDCP）旨在通过创建端到端安全通道来缓解其中一些问题，但研究人员发现了一种新颖的方法，可以用来规避这些保护并在攻击中发动中间人（AitM）攻击。

具体来说，由于缺乏 SDCP 支持和安全标识符 ( SID ) 的明文传输，ELAN 传感器被发现容易受到传感器欺骗的攻击，从而允许任何 USB 设备伪装成指纹传感器并声称授权用户正在登录。

就 Synaptics 传感器而言，不仅发现 SDCP 在默认情况下处于关闭状态，而且该实现还选择依赖有漏洞的自定义传输层安全 (TLS) 堆栈来保护主机驱动程序和传感器之间的 USB 通信，而这种通信可能会被武器化以避开生物特征认证。

另一方面，Goodix 传感器的利用利用了在同时装有 Windows 和 Linux 的计算机上执行注册操作的根本差异，利用后者不支持 SDCP 来执行以下操作：

• 启动至 Linux；
• 枚举有效 ID；
• 使用与合法 Windows 用户相同的 ID 注册攻击者的指纹；
• MitM 利用明文 USB 通信实现主机和传感器之间的连接；
• 启动至 Windows；
• 使用我们的 MitM 拦截并重写配置数据包以指向 Linux DB；
• 使用攻击者的打印以合法用户身份登录；

值得指出的是，虽然汇顶传感器针对Windows和非Windows系统有单独的指纹模板数据库，但由于主机驱动程序向传感器发送未经身份验证的配置数据包以指定传感器在传感器过程中使用哪个数据库，因此攻击是可能的。

为了减轻此类攻击，建议原始设备制造商 (OEM) 启用 SDCP 并确保指纹传感器的实施由独立的合格专家进行审核。

这并不是基于 Windows Hello 生物识别技术的身份验证第一次被成功破解。2021 年 7 月，微软发布了针对中等严重性安全漏洞（CVE-2021-34466，CVSS 评分：6.1）的补丁，该漏洞可能允许对手欺骗目标的面部并绕过登录屏幕。

微软在 SDCP 设计上做得很好，可以在主机和生物识别设备之间提供安全通道，但不幸的是，设备制造商似乎误解了一些目标。

此外，SDCP 仅覆盖典型设备操作的非常狭窄的范围，而大多数设备都暴露出相当大的攻击面，而 SDCP 根本没有覆盖这些攻击面。