Blackwing IntelligenceはWindows Helloのセキュリティ評価を実施し、3種類のノートPCで指紋認証をバイパスできたと報告した。
この記事は会員限定です。会員登録すると全てご覧いただけます。
Blackwing Intelligenceは2023年11月21日(現地時間)、Microsoftのセキュリティエンジニアリンググループ「MORSE」(Microsoft’s Offensive Research and Security Engineering)からの依頼で、生体認証機能「Windows Hello」における指紋認証のセキュリティ評価を実施した結果を公開した。
この結果、3つのノートPCに内蔵された指紋センサーに脆弱(ぜいじゃく)性が見つかり、Windows Helloによる認証を完全にバイパスすることに成功したという。
検証対象となったノートPCは以下の通りだ。
Blackwing Intelligenceの研究チームによると、これらのノートPCに対してソフトウェアとハードウェアの広範囲におけるリバースエンジニアリングやカスタムTLS暗号実装の欠陥の利用、独自プロトコルの解読と再実装といった分析および研究を実施し、最終的に全ての機種で認証バイパスを実行できたという。
Blackwing Intelligenceは、Microsoftが開発したWindows Helloの指紋認証システムとして使われているセキュアデバイス接続プロトコル「SDCP」(Secure Device Connection Protocol)に問題があると指摘している。SDCPは生体認証デバイスとシステム間で安全な通信を確立することを目的に設計されたものだ。
研究チームは具体的には、デバイス製造業者がSDCPの目的を誤解しているとしており、調査した3つのデバイスのうち、2つでこのプロトコルが有効化されていなかったと説明した。生体認証ソリューションを製造するベンダーに対してSDCPを有効にするとともに、実装を第三者である専門家に監査してもらうことを強く推奨している。
Blackwing Intelligenceは今後の研究において、ハードウェアとファームウェアのセキュリティや隠れた機能、ハードウェアに対する直接攻撃、「Android」「iOS」「Linux」など他のプラットフォームに対する攻撃可能性などを調査する予定だ。
Copyright © ITmedia, Inc. All Rights Reserved.