I ricercatori specializzati in sicurezza informatica della Blackwing Intelligence hanno scoperto diverse vulnerabilità dei lettori di impronte digitali montati su alcuni notebook, a causa delle quali è stato possibile aggirare il sistema di autenticazione biometrico di Windows Hello. Con una simulazione di attacco “man in the middle” (MITM) tramite un dispositivo USB sono riusciti infatti ad accedere ai computer in test bypassando il sistema di protezione del sistema operativo di Microsoft, azienda che ha commissionato questa stessa ricerca.

I problemi di Windows Hello con i lettori di impronte digitali

I problemi sollevati dallo studio riguardano la lettura delle impronte digitali di Windows Hello, un metodo di autenticazione biometrica molto diffuso fra i computer portatili moderni e ampiamente utilizzato dalle persone, complici anche le nuove politiche aziendali che stanno abbandonando gradualmente le classiche password a vantaggio dei metodi di accesso tramite sensori biometrici, anche a servizi web e software.

Alla società di sicurezza informatica Blackwing Intelligence, l’Offensive Research and Security Engineering di Microsoft (MORSE) ha chiesto di valutare la sicurezza dei tre principali sensori di impronte digitali montati nei computer portatili (ELAN, Goodix e Synaptix) e usati per l’autenticazione, per accedere a Windows. E, come anticipato, sono emersi diversi problemi, molteplici vulnerabilità che i ricercatori hanno potuto sfruttare con successo per bypassare completamente Windows Hello su tre laptop: un Dell Inspiron 5, un Lenovo ThinkPad T14 e un Microsoft Surface Pro X.

Nel post sul blog pubblicato martedì, la società spiega nel dettaglio in che modo è riuscita ad aggirare il sistema di autenticazione biometrico su tutti e tre i notebook citati: è stato necessario realizzare un dispositivo USB ed eseguire un man in the middle (MITM, cioè quel tipo di attacco informatico in cui viene ritrasmessa o alterata la comunicazione fra due parti intercettando e manipolando i dati), attacco che potrebbe permettere ad esempio di accedere con relativa semplicità a dispositivi rubati.

“Microsoft ha fatto un buon lavoro nel progettare il Secure Device Connection Protocol (SDCP) per fornire un canale sicuro fra l’host e i dispositivi biometrici, ma sembra che i produttori fraintendano vari obiettivi […] l’SDCP copre inoltre solo un ambito molto ristretto del funzionamento di un dispositivo con la maggior parte resta esposta agli attacchi” hanno commentato due ricercatori di Blackwing Intelligence. Proprio questo protocollo, che dovrebbe garantire un’autenticazione biometrica sicura con i sensori di impronte digitali, è emerso non fosse abilitato su due dei tre dispositivi provati, una mancanza che potrebbe incidere molto nell’implementazione di sensori sicuri e in grado di proteggere in maniera adeguata i dispositivi su cui sono montati.

Per ora, non è chiaro se Microsoft sarà in grado di risolvere i problemi emersi dallo studio del team di ricerca, che sta considerando anche altri scenari e problemi di sicurezza dei sensori di impronte digitali su dispositivi Linux, Apple e Android.

Qui ci sono maggiori informazioni al riguardo.

Leggi anche: Windows permetterà di disinstallare anche Edge e Bing in Europa e tutte le nostre guide del settore computer