由微軟自己聘請(qǐng)的微軟物驗(yàn)一個(gè)安全測(cè)試團(tuán)隊(duì)日前發(fā)布消息稱他們?cè)?Windows Hello 中找到漏洞，可以繞過(guò)微軟的聘請(qǐng)身份驗(yàn)證，從而成功進(jìn)入 Windows。安隊(duì)W點(diǎn)網(wǎng)南昌美女兼職上門外圍上門外圍女（微信189-4469-7302）全國(guó)1-2線城市可真實(shí)安排90分鐘到達(dá)，不收任何定金

相關(guān)漏洞是全研缺陷在 10 月份發(fā)現(xiàn)的，當(dāng)然微軟也需要時(shí)間進(jìn)行處理，究團(tuán)所以到現(xiàn)在安全團(tuán)隊(duì)才公布漏洞的證中部分細(xì)節(jié)供業(yè)界參考。

這部分漏洞嚴(yán)格來(lái)說(shuō)其實(shí)不算是發(fā)現(xiàn)微軟的，而是可繞 OEM 使用的指紋傳感器模塊存在缺陷，但微軟的過(guò)藍(lán)南昌美女兼職上門外圍上門外圍女（微信189-4469-7302）全國(guó)1-2線城市可真實(shí)安排90分鐘到達(dá)，不收任何定金黑鍋是沒(méi)有進(jìn)行嚴(yán)格的校驗(yàn)，因此實(shí)際上弱化了安全性。微軟物驗(yàn)

指紋識(shí)別模塊的聘請(qǐng)獨(dú)立硬件：

目前多數(shù)指紋識(shí)別模塊都是獨(dú)立硬件，這些模塊里有自己的安隊(duì)W點(diǎn)網(wǎng)芯片，當(dāng)用戶錄入指紋時(shí)指紋會(huì)被保存在芯片里，全研缺陷指紋永遠(yuǎn)不會(huì)離開芯片防止被盜。究團(tuán)

Blackwell 團(tuán)隊(duì)使用逆向工程查找指紋傳感器中的證中缺陷，然后創(chuàng)建了自己的 USB 設(shè)備，這個(gè) USB 設(shè)備可以執(zhí)行中間人攻擊 (MitM)，從而繞過(guò)指紋識(shí)別硬件。

微軟的黑鍋在哪里：

微軟使用安全設(shè)備連接協(xié)議即 SDCP 在主機(jī)和生物識(shí)別設(shè)備之間提供安全通道，但測(cè)試的三個(gè)指紋傳感器中有兩個(gè)壓根沒(méi)有啟用 SDCP 協(xié)議，這種情況下 Windows 依然和指紋傳感器匹配并工作了，因此弱化了安全性。

安全團(tuán)隊(duì)稱建議所有指紋傳感器公司不僅要在設(shè)備上啟用 SDCP 協(xié)議，還應(yīng)該聘請(qǐng)第三方公司確保其能夠正常工作。

找出這些問(wèn)題讓 Blackwell 團(tuán)隊(duì)花費(fèi)了三個(gè)月，雖然找出漏洞很難不過(guò)最終他們還是成功了，也證明了 Windows 設(shè)備的安全性有待繼續(xù)提高。

被測(cè)試的設(shè)備：

Dell Inspiron 15 內(nèi)置指紋識(shí)別模塊

Lenovo ThinkPad T14 內(nèi)置指紋識(shí)別模塊

Microsoft Surface Pro Type Cover

面向 PC 供應(yīng)指紋傳感器的公司其實(shí)就幾個(gè)品牌，包括 ELAN、Synaptics 以及 Goodix 等，所以理論上說(shuō)大多數(shù)筆記本電腦配備的指紋傳感器都存在類似問(wèn)題。