資安研究人員成功繞過Windows Hello指紋身分驗證

專門從事安全工程與進攻性安全研究的Blackwing Intelligence接受了微軟的委託，負責評估3臺筆電上用來支援Windows Hello指紋身分驗證的3款指紋感應器，研究人員透過軟體與硬體的反向工程，在3個月內攻陷了相關裝置，成功繞過Windows Hello的指紋身分驗證機制。

Windows Hello為微軟所開發的身分驗證機制，應用於Windows 10與Windows 11作業系統，允許使用者透過人臉辨識、指紋辨識或PIN碼來取代密碼輸入。而被用來測試的3臺筆電及指紋感應器品牌，分別是採用Goodix感應器的Dell Inspiron 15、使用Synaptics感應器的Lenovo ThinkPad T14s，以及採用ELAN感應器的Microsoft Surface Pro X。

Windows Hello使用了兩項關鍵的安全技術，一是Match on Chip（MoC），將指紋資訊存放於感應器晶片上，並直接於晶片上進行比對，可防範駭客直接將有效指紋傳送至主機比對的攻擊，二是微軟特別針對指紋感應器所開發的安全裝置連線協定（Secure Device Connection Protocol，SDCP），以避免駭客利用偽造的感應器來與主機通訊。

然而，研究人員發現，裝置製造商似乎誤解了SDCP的某些目的，再加上SDCP僅覆蓋裝置日常操作之非常狹隘的範圍，而大多數裝置都曝露了大範圍的攻擊面，並未受到SDCP的保護。此外，除了Goodix針對SDCP提供了良好支援之外，Synaptics僅具備部分的SDCP支援，而微軟自家Surface Pro X所採用的ELAN並未支援SDCP。

在Dell（Goodix）與聯想（Synaptics）筆電上，研究人員藉由枚舉有效ID，再利用合法Windows用戶的ID來註冊攻擊者的指紋，成功繞過身分驗證機制。

而Surface Pro X的指紋辨識則有賴Microsoft Surface Pro Type Cover，這是一個內建指紋感應器的外接鍵盤，研究人員原本以為這是最難攻陷的裝置，因為它是由微軟設計與開發的產品，卻發現它所採用的ELAN指紋感應器並不支援SDCP，與裝置之間是透過明文的USB通訊，而且不必驗證身分，這代表任何USB設備都可以宣稱自己是ELAN感應器，並假裝自己是授權用戶以登入電腦。

有趣的是，主機唯一檢查的是感應器所知道的指紋數量是否與主機上所紀錄的一致，以用來判斷使用者是否插入了錯誤的Type Cover，但駭客只要查詢原來的感應器就可繞過此一限制。

Blackwing Intelligence最終的結論是，生物辨識身分驗證非常好用，但建議那些生產相關解決方案的業者應確保已啟用SDCP，同時聘請第三方專家來審核相關部署。