Sensor sidik jari laptop Anda memang nyaman, tetapi apakah aman? Para peneliti di Blackwing Intelligence telah melewati sistem sidik jari Windows Hello pada laptop dari Dell, Lenovo, dan Microsoft. Produsen harus mengatasi masalah ini dengan mengikuti praktik keamanan yang ketat dan konsisten, menurut Blackwing Intelligence.
Microsoft meminta Blackwing Intelligence untuk menyelidiki sistem sidik jari Windows Hello menjelang konferensi BlueHat pada Oktober 2023. Blackwing Intelligence hanya memiliki waktu tiga bulan untuk melakukan penelitiannya, sehingga mereka mengasahnya pada tiga laptop—Dell Inspiron 15, Lenovo ThinkPad T14, dan Microsoft Surface Pro X. Laptop ini dipilih karena memiliki tiga sensor sidik jari tertanam yang paling populer (dari Goodix, Synaptics, dan ELAN, masing-masing).
Kerentanan unik ditemukan di sistem sidik jari Windows Hello setiap laptop. Tim Blackwing Intelligence menggunakan perangkat USB khusus untuk mengeksploitasi kerentanan ini dan melewati login sidik jari. Secara teknis, Secure Device Connection Protocol (SDCP) Microsoft seharusnya melindungi laptop dari serangan semacam itu. Namun SDHP tidak digunakan oleh pembaca sidik jari di Thinkpad T13 atau Surface Pro X, dan Blackwing Intelligence berhasil menyiasati sistem SDCP Inspiron 15 dengan merutekan ulang basis data sidik jari laptop ke Linux.
Anehnya, Surface Pro X terbukti yang paling mudah korban. Laptop 2-in-1 ini seharusnya menghadirkan tantangan unik. Bagaimanapun, itu dibuat oleh Microsoft dan menjalankan ceruk Windows pada sistem operasi ARM. Namun, seperti yang dijelaskan Blackwing Intelligence, perangkat USB apa pun dapat mengklaim sebagai sensor sidik jari Surface Pro X (dengan memalsukan VID/PID-nya). Satu-satunya kendala nyata yang dihadirkan oleh Surface Pro X adalah pemeriksaan “berapa banyak sidik jari”, yang menanyakan pada keyboard yang dapat dilepas berapa banyak sidik jari yang telah didaftarkan (mungkin, ini untuk mencegah dua pengguna Surface Pro X mencampurkan keyboard mereka).
The kabar baiknya adalah serangan man-in-the-middle (MitM) ini memerlukan akses fisik ke laptop korban. Dan, jika Anda cukup penting untuk menjadi sasaran serangan semacam itu, Anda dapat melindungi diri Anda sendiri dengan menonaktifkan login sidik jari laptop Anda. Namun penelitian ini menyoroti fakta yang tidak menyenangkan—produsen laptop Windows, termasuk Microsoft, tidak mengikuti praktik keamanan yang konsisten.
Blackwing Intelligence meminta semua produsen laptop dan sensor sidik jari untuk menerapkan SDCP dan mempekerjakan auditor keamanan pihak ketiga di masa depan. Untuk informasi tambahan, silakan baca postingan blog “A Touch of Pwn” Blackwing Intelligence atau tonton presentasi BlueHat perusahaan tersebut.
Sumber: Blackwing Intelligence via The Verge