旧金山，11月23日:研究人员已经在戴尔、联想甚至微软的笔记本电脑上绕过了Windows Hello指纹认证。Blackwing Intelligence的安全研究人员发现，安装在笔记本电脑上的前三大指纹传感器存在各种漏洞，这些指纹传感器通常被企业用来保护带有Windows Hello指纹认证的笔记本电脑。

　　微软攻击性研究与安全工程部门(MORSE)要求Blackwing情报公司分析指纹传感器的安全性，研究人员在10月份的微软蓝帽会议上展示了他们的研究结果。Blackwing研究人员Jesse D’aguanno和Timo Teras专注于在微软Surface Pro X、联想ThinkPad T14和戴尔Inspiron 15上发现的由ELAN、Synaptics和Goodix生产的嵌入式指纹传感器。

　　所有被检查的指纹传感器都是带有自己的微处理器和存储的芯片匹配(MoC)传感器，允许指纹匹配在芯片内安全地进行。然而，虽然MoC传感器禁止主机重放存储的指纹数据进行匹配，但它们并不能阻止流氓传感器冒充真正的传感器与主机的通信。这可能给人的印象是用户身份验证已经完成，或者重播以前记录的主机和传感器之间的通信。

　　微软开发了安全设备连接协议(SDCP)，以防止可能利用指纹设备漏洞的攻击。该协议确保指纹设备是可信的、健康的，并且在目标设备上保护指纹设备与主机之间的通信。尽管如此，安全研究人员利用一个定制的linux驱动的树莓派4设备，利用中间人(MiTM)攻击，成功绕过了三台笔记本电脑上的Windows Hello身份验证。

　　在戴尔和联想笔记本电脑上，通过枚举有效ID并使用合法Windows用户的ID注册攻击者的指纹来完成身份验证绕过(Synaptics传感器使用自定义TLS堆栈而不是SDCP来保护USB通信)。

　　研究人员在一篇博客文章中说:“微软在设计SDCP方面做得很好，它在主机和生物识别设备之间提供了一个安全通道，但不幸的是，设备制造商似乎误解了一些目的。”“此外，SDCP只覆盖了典型设备操作的一个非常狭窄的范围，而大多数设备都暴露了一个相当大的攻击面，而SDCP根本没有覆盖，”他们补充说。