Bir grup araştırmacı, Microsoft’un Windows Hello parmak izi kimlik doğrulamasının şirketin düşündüğü kadar güçlü olmadığını kanıtladı. Windows Hello’nun çeşitli kimlik doğrulama yöntemlerinin ilginç biçimlerde aşıldığını ilk kez görmüyoruz, ancak bu, Microsoft’un biyometrik güvenlik konusunda yapacak daha çok işi olduğunu kanıtlıyor.
Windows Hello’nun fotoğraf kimlik doğrulamasının basılı fotoğraflar ile kandırılabildiği daha önce gösterilmişti. Ancak şimdi bir grup güvenlik araştırmacısı, Microsoft’un Windows Hello sistemleri için kullandığı parmak izi kimlik doğrulama sistemlerini aşmayı başardı. Grup, sistemi test etmek için Microsoft tarafından görevlendirildi, bu nedenle şirketin muhtemelen kimlik doğrulama sistemlerini ileriye dönük olarak geliştirmek için çalışacağı rahatlıkla tahmin edilebilir.
Ayrıca, Windows Hello parmak izi güvenliğinin aşılmasının en az birkaç ay sürdüğünü belirtmekte fayda var. Microsoft’un BlueHat güvenlik konferansı sırasında paylaşılan bir gönderiye göre grup, sistemi kırmak için Dell Inspiron 15 ve Lenovo ThinkPad T14’ün yanı sıra Microsoft Surface Pro Type Cover with Fingerprint’te bulunan parmak izi sensörlerini kullandı.
Testte kullanılan parmak izi sensörlerinin her birinin “çip üzerinde eşleştirme” teknolojisini temel aldığını da belirtmek gerekiyor. Bu teknoloji, tüm kimlik doğrulamanın sensörün kendisi üzerinde gerçekleştirildiği anlamına geliyor. Windows Hello parmak izi hack’lemesinin arkasındaki grup olan Blackwing, bu çip üzerinde eşleştirme sistemlerinin, ana bilgisayarın güvenliği ihlal edilmiş olsa bile biyometrik verilerinizi koruduğunu söylüyor.
Yukarıda belirtildiği gibi Blackwing, bu hack çalışmasının yaklaşık üç ay sürdüğünü ve büyük bir çaba gerektirdiğini söylüyor. Ancak bu çalışmanın ana amacı, grubun Microsoft’un savunmasını kırmayı başarmaktı ve bu da parmak izi sensörü üreticilerinin, sistemlerini bağladıkları cihazların korunmasını sağlamak için yeni yollar bulmaları gerektiğini gösteriyor.