هک اسکنر اثر انگشت Windows Hello: آیا هنوز باید از آن استفاده کرد؟

ورود به لپ تاپ ویندوز با اسکنر اثر انگشت آسان است. فقط انگشت خود را روی یک اسکنر قرار دهید و سیستم عامل به شما اجازه ورود می دهد. با این حال، محققان نشان داده اند که اگرچه این روش راحت است، اما ضد هک نیست. بنابراین، چگونه افراد می توانند اسکن اثر انگشت Windows Hello را هک کنند و آیا باید نگران آن باشید؟

اگر هکری بخواهد از اسکنر اثرانگشت روی یک دستگاه ویندوز عبور کند، هدفش این است که از سرویسی به نام Windows Hello عبور کند. این سرویس نحوه ورود شما به ویندوز را مدیریت می کند، مانند پین، اسکن صورت و اسکن اثر انگشت. به عنوان بخشی از تحقیقات در مورد قدرت Windows Hello، دو هکر کلاه سفید به نام‌های جسی داگوانو و تیمو تراس گزارشی را در وب‌سایت خود، Blackwing HQ منتشر کردند. این گزارش نحوه نفوذ به سه دستگاه محبوب را توضیح می دهد: دل Inspiron 15، لنوو تینک پد T14، و مایکروسافت سرفیس پرو تایپ کاور.

چگونه هکرها Windows Hello را در دل Inspiron 15 شکستند

برای Dell Inspiron 15، هکرها متوجه شدند که می توانند در لینوکس روی لپ تاپ بوت شوند. پس از ورود به لینوکس، آنها می توانند اثر انگشت خود را در سیستم ثبت کنند و همان شناسه کاربر ویندوزی را که می خواهند وارد سیستم شوند به آن بدهند. سپس، آنها یک حمله مرد میانی به اتصال بین رایانه و سنسور انجام می دهند. آنها آن را به گونه‌ای تنظیم کردند که وقتی ویندوز دوباره بررسی می‌کند که اثر انگشت اسکن شده قانونی است، در نهایت به جای اثر انگشت خود، پایگاه داده لینوکس را بررسی می‌کند.

برای طفره رفتن از Windows Hello، هکرها اثر انگشت خود را در پایگاه داده لینوکس آپلود کردند، همان شناسه کاربر در ویندوز را به آن اختصاص دادند و سپس سعی کردند با اثر انگشت خود وارد ویندوز شوند. در طی فرآیند احراز هویت، آنها بسته را به پایگاه داده لینوکس هدایت کردند، که به ویندوز گفت که کاربر در شناسه مشخص شده آماده ورود به سیستم است.

چگونه هکرها Windows Hello را در لنوو تینک پد T14 شکستند

برای لنو تینک پد، هکرها متوجه شدند که این لپ‌تاپ از یک روش رمزگذاری سفارشی برای تأیید اثر انگشت استفاده می‌کند. با کمی کار، هکرها موفق به رمزگشایی آن شدند و به آنها راهی برای تأیید اثر انگشت دادند. پس از انجام این کار، هکرها می توانند پایگاه داده اثر انگشت را مجبور کنند اثر انگشت آنها را به عنوان اثر انگشت کاربر بپذیرد. سپس تنها کاری که آنها باید انجام می دادند این بود که اثر انگشت خود را اسکن کنند تا به تینک پد لنوو دسترسی پیدا کنند.

چگونه هکرها Windows Hello را در سرفیس پرو تایپ کاور شکستند

هکرها بر این باور بودند که سرفیس پرو سخت‌ترین دستگاه برای شکستن خواهد بود، اما با تعجب متوجه شدند که سرفیس پرو فاقد اقدامات امنیتی زیادی برای بررسی اثر انگشت معتبر است. در واقع، آنها متوجه شدند که فقط باید یک دفاع را پشت سر بگذارند، سپس به سرفیس پرو بگویند که اسکن اثر انگشت موفقیت آمیز بوده و دستگاه به آنها اجازه ورود داد.

این هک ها برای شما چه معنایی دارند؟

اگر از اثر انگشت برای ورود به لپ تاپ خود استفاده کنید، ممکن است این هک ها بسیار ترسناک به نظر برسند. با این حال، قبل از اینکه به طور کامل از اسکن اثر انگشت خودداری کنید، مهم است که برخی از نکات مهم را به خاطر بسپارید.

1. حملات توسط هکرهای ماهر انجام شد: دلیل مرگبار بودن تهدیدهایی مانند باج افزار به عنوان یک سرویس این است که هر کسی با حداقل امنیت سایبری می تواند از آنها استفاده کند. با این حال، هک های فوق نیاز به سطح بالایی از تخصص، با درک عمیق از نحوه احراز هویت اثر انگشت دستگاه ها و نحوه اجتناب از آنها دارد.
2. حملات، مهاجم را ملزم به تعامل فیزیکی با دستگاه می کند: هکرها برای انجام هک های فوق باید با دستگاه تماس فیزیکی داشته باشند. در این گزارش، هکرها اعلام کردند که ممکن است بتوانند دستگاه‌های USB بسازند که پس از اتصال به برق، حمله را انجام دهند، اما این بدان معناست که یک مهاجم بالقوه باید چیزی را به رایانه شما وصل کند تا آن را هک کند.
3. حملات فقط بر روی دستگاه های خاص کار می کنند: متوجه خواهید شد که هر حمله باید مسیر متفاوتی را برای رسیدن به همان هدف طی کند. هر دستگاهی منحصر به فرد است و هکی که روی یک دستگاه کار می کند ممکن است روی دستگاه دیگر کار نکند. به این ترتیب، شما نباید باور کنید که Windows Hello اکنون در هر دستگاهی کاملاً باز شده است. فقط این سه دستگاه شکست خوردند.

اگرچه این هک ها ممکن است ترسناک به نظر برسند، اما انجام آنها در برابر اهداف واقعی چالش برانگیز خواهد بود. هکر برای انجام این هک ها احتمالا باید دستگاه را بدزدد که بدون شک به صاحب قبلی هشدار می دهد.

چگونه از هک اثر انگشت در امان بمانیم

همانطور که در بالا گفته شد، انجام هک های کشف شده پیچیده است و ممکن است هکر نیاز به حذف دستگاه برای هک فیزیکی آن داشته باشد. به این ترتیب، احتمال بسیار کمی وجود دارد که این حملات شخصاً شما را هدف قرار دهند. با این حال، اگر هنوز راضی نیستید، راه‌هایی برای محافظت از خود در برابر هک‌های اسکنر اثر انگشت وجود دارد:

1. دستگاه ها را بدون مراقبت و بدون محافظت رها نکنید: از آنجایی که یک هکر نیاز به تعامل فیزیکی با دستگاه شما دارد، باید اطمینان حاصل کنید که به دست افراد نادرست نیفتد. برای رایانه‌ها، می‌توانید اقداماتی را برای جلوگیری از سرقت آن انجام دهید. اگر از لپ‌تاپ استفاده می‌کنید، هرگز آن را در یک مکان عمومی تنها نگذارید و از کیف لپ‌تاپ ضد سرقت استفاده کنید تا از پاره کردن کیف شما جلوگیری کنید.
2. از یک روش ورود متفاوت استفاده کنید: Windows Hello از روش‌های مختلف ورود به سیستم پشتیبانی می‌کند که برخی از آنها امن‌تر از بقیه هستند. اگر عاشق اسکن اثر انگشت شده‌اید، بررسی کنید که آیا ورود به سیستم چهره، عنبیه، اثر انگشت، پین یا رمز عبور امن‌تر است یا خیر، و یکی را انتخاب کنید که برای شما مناسب‌تر است.

اگر نگران این هک ها هستید، مهم است که به یاد داشته باشید که احتمال بسیار کمی وجود دارد که به طور خاص شما را هدف قرار دهند. به این ترتیب، شما باید با استفاده از اسکن اثر انگشت ایمن باشید. فقط به مردم اجازه ندهید دستگاه های شما را بدزدند.