लैपटॉप पर फिंगरप्रिंट से पुष्टि के लिए Windows Hello की कमजोरियाँ

Windows उपयोगकर्ताओं को यह देखकर आनंद हुआ कि उन्होंने ऐसे डिवाइस देखे जिनमें फिंगरप्रिंट पर आधारित बायोमेट्रिक पुष्टि प्रणाली है, जो Apple के लैपटॉप और कंप्यूटरों पर मौजूद Touch ID के सामान्य मॉडल की तरह है। समस्या यह है कि चीजें Windows पर इतनी अच्छी तरह नहीं चल रहीं हैं, क्योंकि शीर्ष श्रेणी के लैपटॉप पर फिंगरप्रिंट से पुष्टि करने में Windows Hello की कमजोरियाँ पाई जा रही हैं।

सुरक्षा शोधकर्ताओं ने खुलासा किया कि फिंगरप्रिंट प्रमाणीकरण प्रणाली Windows Hello, तीन सबसे लोकप्रिय लैपटॉप पर मौजूद है Windows, सुरक्षा का अपेक्षित स्तर प्रदान नहीं करता है। माइक्रोसॉफ्ट के अनुरोध पर, साइबर सुरक्षा फर्म ब्लैकविंग इंटेलिजेंस ने प्रवेश परीक्षण आयोजित किया, जिसमें पाया गया कि सभी तीन लैपटॉप इन परीक्षणों में विफल रहे।

इस तथ्य के बावजूद कि माइक्रोसॉफ्ट सरफेस का परीक्षण किया गया था, यह तीनों में से सबसे कमजोर निकला modeउनका परीक्षण किया, जिससे फ़िंगरप्रिंट बायोमेट्रिक प्रमाणीकरण को आसानी से बायपास करना संभव हो गया Windows Hello.

माइक्रोसॉफ्ट की अनुसंधान टीम (MORSE) ने स्पष्ट रूप से लैपटॉप में एम्बेडेड शीर्ष प्रदर्शन वाले फिंगरप्रिंट सेंसर के लिए सुरक्षा मूल्यांकन का अनुरोध किया, लेकिन परिणामों से पता चला कि टीम द्वारा कई कमजोरियों का सफलतापूर्वक फायदा उठाया गया। डेल इंस्पिरॉन 15 और लेनोवो थिंकपैड टी14 सहित प्रत्येक लैपटॉप को मौजूदा सुरक्षा प्रोटोकॉल से बचने के लिए अलग-अलग तरीकों की आवश्यकता होती है।

ये कमजोरियाँ Windows Hello फिंगरप्रिंट प्रमाणीकरण पर सुरक्षा के बढ़े हुए स्तर को सुनिश्चित करने के लिए प्रमाणीकरण प्रणालियों में सुधार के निरंतर महत्व पर जोर दिया गया है।

Dell Inspiron 15 पर फिंगरप्रिंट से पुष्टि के लिए Windows Hello की कमजोरियाँ

Dell Inspiron 15 महत्वपूर्ण कमजोरियाँ प्रस्तुत करता है Windows Hello फ़िंगरप्रिंट प्रमाणीकरण के लिए. जब डिवाइस चालू हो Windows, यह सहित पूर्ण सुरक्षा प्रोटोकॉल का पालन करता है Secure Device Connection Protocol (SDCP). ये प्रोटोकॉल आवश्यक जांच करते हैं, जैसे यह सुनिश्चित करना कि होस्ट एक विश्वसनीय डिवाइस के साथ संचार कर रहा है और फिंगरप्रिंट डेटा संग्रहीत या रिले नहीं किया गया है। हालाँकि, जिस टीम ने कमजोरियों का परीक्षण किया Windows Hello ध्यान दें कि फ़िंगरप्रिंट रीडर तक पहुंच के दौरान Windows एसडीसीपी का उपयोग करता है, तक पहुंच Linux नहीं। और उन्हें एक विचार आया.

लक्ष्य डिवाइस को आरंभ करके Linux और पार्श्व उपयोग Linux के माध्यम से साइन इन किए गए वैध उपयोगकर्ता के समान आईडी निर्दिष्ट करके डेटाबेस में हमलावर के फिंगरप्रिंट को दर्ज करना Windows, टीम ने एक भेद्यता की पहचान की। हालाँकि यह प्रयास शुरू में असफल रहा था, क्योंकि इसके लिए अलग-अलग ऑन-चिप डेटाबेस की खोज की गई थी Windows एसआई Linux, यह निर्धारित करना संभव था कि कैसे Windows वह जानता था कि किस डेटाबेस तक पहुँचना है और उसे एक डेटाबेस तक निर्देशित करने में सक्षम था Linux.

इससे अगले समाधान का रास्ता खुल गया, जिसमें हमला भी शामिल था Man in the Middle (MitM). इस भेद्यता के चरण यहां दिए गए हैं Windows Hello फ़िंगरप्रिंट प्रमाणीकरण पर Dell Inspiron 15.

1. सिस्टम चालू है Linux.
2. वैध आईडी सूचीबद्ध हैं। तो जिन्हें अधिकृत किया जा सकता है वे निर्धारित हैं।
3. वैध उपयोगकर्ता के समान आईडी का उपयोग करके हमलावर के फिंगरप्रिंट का नामांकन किया जाता है Windows.
4. हमला टाइप करें Man in the Middle (MitM) होस्ट और सेंसर के बीच कनेक्शन पर।
5. सिस्टम को प्रारंभ करें Windows.
6. डेटाबेस को इंगित करने के लिए कॉन्फ़िगरेशन पैकेज को इंटरसेप्ट करना और फिर से लिखना Linux मिटएम हमले का उपयोग करना।
7. प्रमाणीकरण एक वैध उपयोगकर्ता के रूप में हमलावर के फिंगरप्रिंट के साथ किया जाता है।

उस प्रकार के उपयोगकर्ता के लिए एक अपेक्षाकृत सरल विधि, जिसे ऑपरेटिंग सिस्टम के आर्किटेक्चर का औसत ज्ञान है Linux और सिस्टम Windows.

जहाँ तक Microsoft Surface Pro 8/X का सवाल है, भेद्यता का फायदा उठाना और भी आसान है।

Microsoft Surface Pro Type Cover पर फिंगरप्रिंट ID की कमजोरी

फ़िंगरप्रिंट आईडी के साथ Microsoft सरफेस प्रो टाइप कवर पर पहचानी गई भेद्यता के संबंध में, अनुसंधान टीम को उम्मीद थी कि एक आधिकारिक Microsoft उत्पाद उच्चतम स्तर की कठिनाई पेश करेगा, लेकिन वे अविश्वसनीय रूप से कमजोर सुरक्षा पाकर दंग रह गए। इस मामले में, स्पष्ट टेक्स्ट (अनएन्क्रिप्टेड) ​​यूएसबी संचार और प्रमाणीकरण की अनुपस्थिति के साथ-साथ सुरक्षित डिवाइस कनेक्शन प्रोटोकॉल (एसडीसीपी) की कमी स्पष्ट थी।

सुरक्षा की इस कमी के साथ, टीम ने पाया कि वे फिंगरप्रिंट सेंसर को आसानी से अनप्लग कर सकते हैं और इसकी नकल करने के लिए अपने डिवाइस में प्लग इन कर सकते हैं। प्रक्रिया में टाइप कवर को डिस्कनेक्ट करना (ड्राइवर दो जुड़े हुए सेंसर को संभाल नहीं सकता है, अस्थिर हो जाता है), अटैक डिवाइस को कनेक्ट करना, सेंसर के वीआईडी/पीआईडी ​​को बढ़ावा देना, ड्राइवर से वैध एसआईडी का अवलोकन करना शामिल है। Windows, चेक पास करना "how many fingerprints” और सिस्टम पर फ़िंगरप्रिंट प्रमाणीकरण आरंभ करना Windows, इसके बाद नकली डिवाइस से एक वैध लॉगिन प्रतिक्रिया भेजी जाएगी।

निष्कर्षतः, ये कमजोरियाँ Windows Hello फिंगरप्रिंट प्रमाणीकरण पर बायोमेट्रिक प्रमाणीकरण प्रणालियों के कार्यान्वयन में मौजूद महत्वपूर्ण कमजोरियों की ओर इशारा किया गया।

संबंधित: प्रमाणीकरण को अक्षम कैसे करें Windows Hello पिन, चेहरा और फ़िंगरप्रिंट Windows 10

यह क्या है Windows Hello?

सबसे पहले ऑपरेटिंग सिस्टम के रिलीज़ के साथ पेश किया गया Windows 10 और डेस्कटॉप और लैपटॉप कंप्यूटरों पर उन्नत कार्यक्षमता प्रदान करना जारी रखा है Windows 11, Windows Hello डिवाइसों तक त्वरित पहुंच प्राप्त करने का एक तेज़ और अधिक सुरक्षित तरीका है Windows.

यह उन्नत प्रमाणीकरण प्रणाली आपको अपने उपकरणों तक पहुंचने की क्षमता देती है Windows 11 पिन कोड, चेहरे की पहचान या फ़िंगरप्रिंट का उपयोग करना। इन विकल्पों का लाभ उठाने के लिए, आपको फ़िंगरप्रिंट या चेहरे की पहचान आरंभीकरण के दौरान एक पिन कोड सेट करना होगा, लेकिन आप केवल अपने पिन से भी प्रमाणित कर सकते हैं।

ये विकल्प न केवल आपके पीसी में साइन इन करना काफी आसान बनाते हैं, बल्कि इसे और अधिक सुरक्षित भी बनाते हैं क्योंकि आपका पिन केवल एक डिवाइस से जुड़ा होता है और आपके Microsoft खाते के माध्यम से पुनर्प्राप्ति के लिए बैकअप किया जाता है।