Ritratti: i grandi innovatori del passato

The | Edge omaggia le storie di grandiosi personaggi storici, uomini e donne del passato, pionieri e pioniere dell’innovazione, che attraverso la diffusione del loro sapere e delle loro scoperte in ambito scientifico e tecnologico, hanno contribuito a rivoluzionare l’umanità.

Vulnerabilità nelle autenticazioni biometriche: le criticità di Windows Hello

Grazie a una nuova interfaccia, Windows semplifica i suoi sistemi con il riconoscimento biometrico? Quali sono le criticità? Scopriamole insieme.

Scoperte di Blackwing Intelligence: i problemi dei sensori biometrici di Windows Hello

Windows lancia Windows Hello, un’interfaccia in grado di semplificare e velocizzare il riconoscimento della propria identità grazie ai dati biometrici dell’utente (leggi il nostro articolo sulla denuncia di Tom Hanks per l’uso improprio della sua immagine). Tuttavia, qualcuno è dubbioso riguardo la sicurezza di questa novità. Blackwing Intelligence, attraverso una ricerca commissionata dal Microsoft Offensive Research and Security Engineering (MORSE), ha rivelato delle vulnerabilità nell’implementazione dell’autenticazione biometrica di Windows Hello in tre notebook popolari. Le falle di sicurezza risiedono principalmente nei sensori utilizzati per il riconoscimento delle impronte digitali, che faciliterebbero potenziali attacchi al sistema operativo.

Lo studio dei sensori rileva risultati preoccupanti

Ma di quali notebook si sta parlando? La ricerca si è concentrata su tre modelli rilevanti: il Dell Inspiron 15, il Lenovo ThinkPad T14 e il Microsoft Surface Pro X, dotati di sensori biometrici forniti da Goodix (Dell), Synaptics (Lenovo) e ELAN (Microsoft). Questi modelli, per quanto forniti di tecnologia d’avanguardia, non hanno superato i test ai quali sono stati sottoposti. I risultati dell’analisi, presentati durante la conferenza BlueHat organizzata da Microsoft in ottobre, mettono in evidenza problemi critici nella sicurezza dell’implementazione.

Attacchi Man-in-the-Middle: come verificare le vulnerabilità crittografiche

Attraverso il reverse engineering di hardware e software, i ricercatori hanno individuato vulnerabilità nella crittografia di uno stack TLS utilizzato per proteggere la comunicazione USB tra il sensore e il driver host, soprattutto nel caso del notebook Lenovo con il sensore Synaptics. Attraverso l’uso di un semplice dispositivo USB, è stato eseguito un attacco man-in-the-middle, permettendo agli aggressori di ottenere accesso al notebook e bypassare il sistema di autenticazione Windows Hello. Microsoft aveva sviluppato il Secure Device Connection Protocol (SDCP) per creare un canale sicuro tra l’host e il sensore biometrico, tuttavia, questa soluzione non è stata implementata né nel notebook Lenovo né nel Surface Pro X. Anche nel caso di Dell, che ha adottato il protocollo, l’implementazione è risultata incompleta, limitandosi a Windows e tralasciando Linux. La presenza di queste vulnerabilità mette nuovamente in dubbio la sicurezza complessiva delle autenticazioni biometriche basate su impronte digitali (leggi il nostro articolo sull’archiviazione di X dei dati biometrici degli utenti).

Incertezze sulla risoluzione delle criticità

La ricerca solleva dubbi sull’efficacia delle misure di sicurezza adottate, evidenziando lacune nel protocollo SDCP e nelle implementazioni dei sensori. Non è chiaro se Microsoft o i produttori dei sensori siano in grado di risolvere completamente queste vulnerabilità, poiché alcune di esse derivano da implementazioni incomplete o errate dei protocolli di sicurezza. La sicurezza delle autenticazioni biometriche, in particolare attraverso Windows Hello, richiede ora un’attenzione urgente e azioni correttive. Forse era un po’troppo presto per lanciarlo sul mercato?

A presto con nuovi articoli!

Potrebbero interessarti anche:

Condividi Articolo

Nel blu, dipinto di blu

Il turismo spaziale non è più un sogno irraggiungibile, diventerà fenomeno di massa e faremo i pendolari fra le stelle? A spasso fra le stelle,

La forza del pensiero

L’evoluzione dell’AI in sofisticate reti neurali danno una speranza a miliardi di malati. Ma restano i nodi per l’etica, la privacy e l’aspetto sociale Muovere