Det er enkelt å logge på en bærbar Windows-datamaskin ved hjelp av en fingeravtrykksleser. Du bare plasserer fingeren på skanneren, og operativsystemet gir deg tilgang. Forskere har imidlertid påvist at selv om denne metoden er praktisk, er den ikke fullstendig sikker mot inntrenging.
Så hvordan klarer hackere å omgå en Windows Hello-fingeravtrykksskanning, og burde du være bekymret for det?
Kan man hacke Windows Hello-fingeravtrykkslesere?
Dersom en hacker ønsker å omgå en fingeravtrykksleser på en Windows-maskin, vil målet være å komme forbi en tjeneste som heter Windows Hello. Denne tjenesten håndterer hvordan du logger på Windows, for eksempel med PIN-koder, ansiktsskanninger og fingeravtrykksskanninger.
Som en del av forskning på sikkerheten til Windows Hello, publiserte to etiske hackere, Jesse D’Aguanno og Timo Teräs, en rapport på sin nettside, Blackwing HQ. Rapporten beskriver hvordan de brøt sikkerheten til tre populære enheter: Dell Inspiron 15, Lenovo ThinkPad T14 og Microsoft Surface Pro Type Cover.
Hvordan hackerne kom seg forbi Windows Hello på Dell Inspiron 15
På Dell Inspiron 15 oppdaget hackerne at det var mulig å starte opp i Linux på den bærbare datamaskinen. Når de var logget inn på Linux, kunne de registrere sine egne fingeravtrykk i systemet og gi dem samme ID som Windows-brukeren de ønsket å logge på.
Deretter gjennomførte de et «mann-i-midten»-angrep på forbindelsen mellom PC-en og sensoren. De manipulerte systemet slik at når Windows forsøkte å verifisere et skannet fingeravtrykk, endte det opp med å sjekke Linux-databasen med fingeravtrykk i stedet for sin egen.
For å omgå Windows Hello lastet hackerne opp sine egne fingeravtrykk i Linux-databasen, ga dem samme ID som brukeren på Windows, og forsøkte deretter å logge på Windows med sine egne fingeravtrykk. Under autentiseringsprosessen omdirigerte de pakken til Linux-databasen, som bekreftet overfor Windows at brukeren med den angitte ID-en var klar til å logge på.
Hvordan hackerne omgikk Windows Hello på Lenovo ThinkPad T14
For Lenovo ThinkPad oppdaget hackerne at den bærbare datamaskinen benyttet en tilpasset krypteringsmetode for å bekrefte fingeravtrykk. Etter litt arbeid klarte hackerne å dekryptere dette, noe som ga dem en vei inn i fingeravtrykksbekreftelsesprosessen.
Etter dette kunne hackerne tvinge fingeravtrykkdatabasen til å godta deres egne fingeravtrykk som brukerens. Deretter var det bare å skanne fingeravtrykket for å få tilgang til Lenovo ThinkPad.
Hvordan hackerne omgikk Windows Hello på Microsoft Surface Pro Type Cover
Hackerne antok at Surface Pro ville være den vanskeligste enheten å trenge inn i, men de ble overrasket over å oppdage at Surface Pro manglet mange sikkerhetsmekanismer for å verifisere gyldige fingeravtrykk. Faktisk oppdaget de at de bare trengte å omgå én sikkerhetsmekanisme, for deretter å overbevise Surface Pro om at fingeravtrykkskanningen var vellykket, slik at de fikk tilgang til enheten.
Hva betyr disse inntrengingene for deg?
Disse hackingmetodene kan virke ganske skremmende dersom du benytter fingeravtrykk for å logge på din bærbare datamaskin. Det er imidlertid viktig å ta i betraktning noen viktige punkter før du helt avstår fra å bruke fingeravtrykksskanning.
1. Angrepene ble utført av erfarne hackere
Grunnen til at trusler som løsepengevirus som en tjeneste er så skadelige, er at hvem som helst med grunnleggende datakunnskaper kan bruke dem. Imidlertid krever de ovennevnte hackingmetodene en høy grad av ekspertise, med en dyp forståelse av hvordan enheter autentiserer fingeravtrykk og hvordan dette kan omgås.
2. Angrepene krever at angriperen har fysisk tilgang til enheten
Hackerne må ha fysisk kontakt med enheten for å gjennomføre de ovennevnte hackingmetodene. I rapporten opplyste hackerne at de kanskje kunne lage USB-enheter som kunne utføre angrepet når de var koblet til, men dette betyr at en potensiell angriper må koble noe til din PC for å kunne hacke den.
3. Angrepene fungerer kun på bestemte enheter
Du vil merke at hver hackingmetode måtte finne en annen vei for å oppnå det samme målet. Hver enhet er unik, og en hackingmetode som fungerer på en enhet, vil kanskje ikke fungere på en annen. Derfor skal du ikke anta at Windows Hello nå er fullstendig usikker på alle enheter. Det er kun disse tre som ikke klarte å stå imot angrepet.
Selv om disse inntrengingene kan høres skremmende ut, vil det være vanskelig å utføre dem på faktiske mål. En hacker ville sannsynligvis måtte stjele enheten for å utføre disse hackingene, noe som utvilsomt ville varsle den forrige eieren.
Hvordan holde seg sikker mot fingeravtrykkshacking
Som nevnt tidligere er de oppdagede hackingmetodene kompliserte å utføre og kan kreve at hackeren fysisk fjerner enheten for å kunne hacke seg inn i den. Det er derfor svært liten sannsynlighet for at disse angrepene vil være rettet mot deg personlig.
Men dersom du likevel er bekymret, er det noen måter du kan beskytte deg mot hacking av fingeravtrykkslesere:
1. Ikke la enheter være uten tilsyn og ubeskyttet
Fordi en hacker må samhandle fysisk med enheten din, bør du passe på at den ikke havner i gale hender. For datamaskiner kan du iverksette tiltak for å forhindre at den blir stjålet. Dersom du bruker en bærbar PC, skal du aldri etterlate den uten tilsyn i et offentlig rom, og du kan bruke en tyverisikringsvæske for å hindre at folk river opp vesken din.
2. Benytt en annen påloggingsmetode
Windows Hello støtter flere ulike påloggingsmetoder, noen sikrere enn andre. Dersom du er glad i å bruke fingeravtrykksskanning, sjekk om ansikts-, iris-, fingeravtrykk-, PIN- eller passordpålogginger er sikrere, og velg den metoden som passer deg best.