Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Yazı Tipi BoyutlandırıcıAa
  • Anasayfa
  • Teknoloji
    • Siber Güvenlik
    • Yapay Zeka
    • Donanım
    • Bilim
  • Yazılım
  • Savunma & İstihbarat
  • Oyun
  • Yaşam
    • Finans
    • Sinema
    • Dünyadan Haberler
  • İş Birliği
Okuma: Parmak İzi Sensörlerindeki Yeni Kusurlar Saldırganların Windows Hello Girişini Atlamasına İzin Veriyor
Paylaş
Yazı Tipi BoyutlandırıcıAa
Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Ara
Bizi Takip Et
  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti
© 2026 Teknomers. All Rights Reserved.

Anasayfa » Parmak İzi Sensörlerindeki Yeni Kusurlar Saldırganların Windows Hello Girişini Atlamasına İzin Veriyor

GenelSiber Güvenlik

Parmak İzi Sensörlerindeki Yeni Kusurlar Saldırganların Windows Hello Girişini Atlamasına İzin Veriyor

teknomers
Son güncelleme: 22 Kasım 2023 20:07
teknomers
Paylaş
Paylaş


22 Kasım 2023Haber odasıKimlik Doğrulama Güvenliği / Windows

Yeni bir araştırma, bypass etmek için kullanılabilecek çok sayıda güvenlik açığını ortaya çıkardı Windows Merhaba kimlik doğrulaması Dell Inspiron 15, Lenovo ThinkPad T14 ve Microsoft Surface Pro X dizüstü bilgisayarlarda.

Kusurlar, Goodix, Synaptics ve ELAN’ın cihazlara gömülü parmak izi sensörlerindeki zayıflıkları bulan donanım ve yazılım ürün güvenliği ve saldırı araştırma şirketi Blackwing Intelligence’daki araştırmacılar tarafından keşfedildi.

Parmak izi okuyucunun istismar edilmesinin ön koşulu, hedeflenen dizüstü bilgisayar kullanıcılarının parmak izi kimlik doğrulamasının önceden ayarlanmış olmasıdır.

Tüm parmak izi sensörleri “çipte eşleşme” adı verilen bir sensör türüdür (MoCEşleştirme ve diğer biyometrik yönetim işlevlerini doğrudan sensörün entegre devresine entegre eden.

Araştırmacılar Jesse D’, “MoC, saklanan parmak izi verilerinin eşleştirme için ana makinede yeniden oynatılmasını engellese de, tek başına, kötü niyetli bir sensörün, meşru bir sensörün ana bilgisayarla iletişimini taklit etmesini ve yetkili bir kullanıcının başarıyla kimlik doğrulaması yaptığını yanlış bir şekilde iddia etmesini engellemez.” Aguanno ve Timo Teräs söz konusu.

MoC ayrıca ana bilgisayar ile sensör arasındaki önceden kaydedilmiş trafiğin yeniden oynatılmasını da engellemez.

Güvenli Cihaz Bağlantı Protokolü (SDCPMicrosoft tarafından oluşturulan, uçtan uca güvenli bir kanal oluşturarak bu sorunlardan bazılarını hafifletmeyi hedefleyen araştırmacılar, bu korumaları aşmak ve ortadaki rakip (AitM) saldırılarını gerçekleştirmek için kullanılabilecek yeni bir yöntem ortaya çıkardılar.

Spesifik olarak, ELAN sensörünün, SDCP desteği eksikliğinden ve güvenlik tanımlayıcılarının açık metin iletiminden kaynaklanan sensör sahteciliği kombinasyonuna karşı savunmasız olduğu bulunmuştur (SID’ler), böylece herhangi bir USB cihazının parmak izi sensörü gibi görünmesine ve yetkili bir kullanıcının oturum açtığını iddia etmesine olanak tanır.

Synaptics örneğinde, yalnızca SDCP’nin varsayılan olarak kapalı olduğu tespit edilmedi, uygulama kusurlu bir özel Aktarım Katmanı Güvenliğine (TLS) ana bilgisayar sürücüsü ile sensör arasındaki, biyometrik kimlik doğrulamayı atlatmak için silah haline getirilebilecek USB iletişimlerini güvenli hale getirmek için yığın.

Öte yandan Goodix sensörünün kullanılması, hem Windows hem de Linux yüklü bir makinede gerçekleştirilen kayıt işlemlerindeki temel bir farktan yararlanır ve ikincisinin aşağıdaki eylemleri gerçekleştirmek için SDCP’yi desteklememesi gerçeğinden yararlanır:

  • Linux’a önyükleme
  • Geçerli kimlikleri numaralandır
  • Saldırganın parmak izini meşru bir Windows kullanıcısıyla aynı kimliği kullanarak kaydedin
  • MitM, açık metin USB iletişimini kullanarak ana bilgisayar ve sensör arasındaki bağlantıyı kurar
  • Windows’a önyükleme
  • MitM’mizi kullanarak Linux DB’yi işaret edecek şekilde yapılandırma paketini yakalayın ve yeniden yazın
  • Saldırganın parmak izine sahip meşru kullanıcı olarak oturum açın

Goodix sensörünün Windows ve Windows dışı sistemler için ayrı parmak izi şablonu veritabanları olmasına rağmen saldırının, ana bilgisayar sürücüsünün, sensör sırasında hangi veritabanının kullanılacağını belirtmek için sensöre kimliği doğrulanmamış bir yapılandırma paketi göndermesi nedeniyle mümkün olduğunu belirtmekte fayda var. başlatma.

Bu tür saldırıları azaltmak için orijinal ekipman üreticilerinin (OEM’ler) SDCP’yi etkinleştirmesi ve parmak izi sensörü uygulamasının bağımsız, kalifiye uzmanlar tarafından denetlenmesini sağlaması önerilir.

Bu, Windows Hello biyometri tabanlı kimlik doğrulamanın başarıyla yenilgiye uğratıldığı ilk sefer değil. Temmuz 2021’de Microsoft, bir saldırganın hedefin yüzünü taklit etmek ve giriş ekranında dolaşın.

Araştırmacılar, “Microsoft, ana bilgisayar ve biyometrik cihazlar arasında güvenli bir kanal sağlamak için SDCP’yi tasarlayarak iyi bir iş çıkardı, ancak ne yazık ki cihaz üreticileri bazı hedefleri yanlış anlıyor gibi görünüyor” dedi.

“Ek olarak, SDCP tipik bir cihazın çalışmasının yalnızca çok dar bir kapsamını kapsarken çoğu cihaz, SDCP tarafından hiç kapsanmayan oldukça büyük bir saldırı yüzeyine maruz kalır.”



siber-2

Warhammer 40K: Space Marine 2 Yama 5, PS5 Pro Desteği, Dark Angels Bölüm Paketi ve Daha Fazlasını Ekliyor
Sony, Insomniac Games’in hacklendiği iddiasına yanıt verdi ve ‘şu anda bu durumu araştırıyoruz’ dedi
James Webb Telescope, evreni neyin iyonize ettiğini bulmaya yaklaşıyor
Apple’ın Katlanabilir iPhone’u, Teknik Sorunlar Nedeniyle 2027’nin Başlarında Piyasaya Sürülmesi Beklenen Bir Gecikme Daha Görüyor ve Ertelenebilir
Xbox Elite Series 2 Çekirdek Denetleyici + 2 Oyun Yalnızca 95 Dolara
ETİKETLENDİ:ağ güvenliğiAtlamasınabilgi Güvenliğibilgisayar Güvenliğifidye yazılımı kötü amaçlı yazılımgirişinihack haberlerihacker haberleriİziİzinkusurlarNasıl heklenirParmakSaldırganlarınSensörlerindekisiber güncellemelersiber güvenlik güncellemelerisiber güvenlik haberleriSiber güvenlik haberleri bugünSiber Haberlersiber saldırılarveri ihlaliVeriyorWindowsyazılım güvenlik açığıYeni
Bu Makaleyi Paylaş
Facebook Bağlantıyı Kopyala Yazdır
Paylaş
Önceki Makale NVIDIA Geforce Deneyimim Neden Grileşiyor? Açıklandı
Sonraki Makale Hayao Miyazaki çok ikna edici

Sanal Medya

FacebookBeğen
452Takip Et
PinterestSabitle
237Takip Et

Son Eklenenler

Oturum Durumlarını Ölçeklendirme: Redis İçin Dosya Sürücülerinden Vazgeçin
Yazılım
Google ve Epic Savaşmaktan Vazgeçti – Üçüncü Parti Android Uygulama Mağazaları Geliyor
Liste
2026’nın En Büyük Filminin Yıldızı Call Of Duty: MW4 Hakkında Konuşacak
Oyun
Laravel 13’te OpenAI Kullanarak Yapay Zeka Destekli İçerik Üretimi
Yazılım
Favori Oyununuza Hakim Olun, Yılda 15.000 Dolar Kazanın
Oyun
OpenAI Araştırmacısı Miles Wang, 2 Milyar Dolar Değerinde AI İlaç Geliştirme Girişimi Kuruyor
Genel
//

Siber güvenlik, yapay zeka ve savunma sanayiinden; finans ve sinema dünyasına uzanan geniş bir yelpaze. Teknomers; teknoloji, strateji ve yazılım dünyasını sade bir dille sizlerle buluşturuyor.

Kurumsal

  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti

Kategoriler

  • Teknoloji
  • Oyun
  • Sinema
  • Siber Güvenlik
  • Bilim
  • Finans
  • Dünyadan Güncel Haberler

Populer

  • TV'de Ücretsiz İzlenebilen Şifresiz Erotik Kanallar (2025 Güncel Frekans Listesi)

  • The Last of Us PC Kontrolleri: Hızlı Silah Değiştirme ve Tüm Tuşlar (2025)

  • Hogwarts Legacy'de Odaklanma İksiri Nasıl Yapılır?

Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Bizi Takip Et
© 2026 Teknomers. All Rights Reserved.
Welcome Back!

Sign in to your account

Kullanıcı Adı veya E-posta Adresi
Şifre

Şifrenizi mi unuttunuz?