A autenticação por biometria do Windows Hello foi comprometida por pesquisadores, conforme divulgado pelo grupo Blackwing Intelligence no dia 21. O grupo conseguiu burlar o mecanismo de segurança em computadores das marcas Dell, Lenovo e Microsoft.
A pesquisa foi solicitada pelo time de Pesquisa Ofensiva e Engenharia de Segurança da Microsoft (MORSE) em outubro deste ano. O Blackwing Intelligence explicou que a pesquisa revelou várias vulnerabilidades que permitiram a equipe ignorar completamente a autenticação do Windows Hello em laptops das três marcas.
Os sensores testados eram das marcas Goodix, Synaptics e ELAN, presentes nos três computadores mais vendidos para empresas: Dell Inspiron 15, Lenovo ThinkPad T14 e Microsoft Surface Pro Type Cover with Fingerprint ID. Todos esses dispositivos tiveram seu mecanismo de segurança violado pelos pesquisadores.
A Blackwing Intelligence descobriu as brechas por meio de engenharia reversa no software e hardware do dispositivo, identificando falhas na implementação criptográfica em um TLS personalizado no componente da Synaptics.
A natureza das brechas está relacionada à ausência da implementação do mecanismo Secure Device Connection Protocol (SDCP) da Microsoft, sendo a decisão de implementar o recurso deixada a critério dos fabricantes.
A descoberta representa uma má notícia para os usuários de computadores com Windows Hello habilitado para biometria. A Microsoft revelou há três anos que cerca de 85% dos usuários adotavam o método de autenticação, sendo a entrada por PIN também uma opção popular da ferramenta.
Embora esta não seja a primeira falha descoberta no Windows Hello, a empresa já havia corrigido uma brecha no sistema em 2021 para evitar acessos indevidos no Windows 10.