微軟聘請的安全研究團隊在Windows Hello生物驗證中發現缺陷可繞過 – 藍點網

這個 USB 設備可以執行中間人攻擊 (MitM)，

被測試的設備：

Dell Inspiron 15 內置指紋識別模塊

Lenovo ThinkPad T14 內置指紋識別模塊

Microsoft Surface Pro Type Cover

麵向 PC 供應指紋傳感器的公司其實就幾個品牌，從而成功進入 Windows。所以理論上說大多數筆記本電腦配備的指紋傳感器都存在類似問題。

安全團隊稱建議所有指紋傳感器公司不僅要在設備上啟用 SDCP 協議，

由微軟自己聘請的一個安全測試團隊日前發布消息稱他們在 Windows Hello 中找到漏洞，所以到現在安全團隊才公布漏洞的部分細節供業界參考。這種情況下 Windows 依然和指紋傳感器匹配並工作了，但測試的三個指紋傳感器中有兩個壓根沒有啟用 SDCP 協議，也證明了 Windows 設備的安全性有待繼續提高。當用戶錄入指紋時指紋會被保存在芯片裏，

這部分漏洞嚴格來說其實不算是微軟的，因此實際上弱化了安全性。而是 OEM 使用的指紋傳感器模塊存在缺陷，還應該聘請第三方公司確保其能夠正常工作。

相關漏洞是在 10 月份發現的，雖然找出漏洞很難不過最終他們還是成功了，

Blackwell 團隊使用逆向工程查找指紋傳感器中的缺陷，可以繞過微軟的身份驗證，

微軟的黑鍋在哪裏：

微軟使用安全設備連接協議即 SDCP 在主機和生物識別設備之間提供安全通道，

指紋識別模塊的獨立硬件：

目前多數指紋識別模塊都是獨立硬件，Synaptics 以及 Goodix 等，然後創建了自己的 USB 設備，因此弱化了安全性。包括 ELAN、從而繞過指紋識別硬件。當然微軟也需要時間進行處理，

找出這些問題讓 Blackwell 團隊花費了三個月，