Fingeravtrycksläsarna i många Windows-baserade laptops har hackats av säkerhetsforskare från Blackwing Intelligence. Den biometriska verifieringen kallas Windows Hello och erbjuder fingeravtrycksläsare, ögonskanning och ansiktsidentifiering som alternativ till lösenord och PIN.

Blackwing upptäckte flera sårbarheter i de tre vanligaste fingeravtrycksläsarna som sitter i laptops från tillverkare likt Dell, Lenovo och Microsoft. Dessa sårbarheter gör att fingeravtrycksläsaren kan kringgås för att få tillgång till datorn.

Bland annat är fingeravtrycksläsarna känsliga för så kallade ”man-in-the-middle”-attacker och ”evil maid”-attacker. Enligt Blackwing var skyddet Secure Device Connection Protocol (SDCP) inte aktiverat på två av de tre datorerna som testades.

Blackwing rekommenderar att tillverkare ser till att SDCP är aktiverat på laptops, samt att implementeringen av fingeravtrycksläsaren granskas av en oberoende expert.

Microsoft’s Offensive Research and Security Engineering (MORSE) asked us to evaluate the security of the top three fingerprint sensors embedded in laptops and used for Windows Hello fingerprint authentication.

Our research revealed multiple vulnerabilities that our team successfully exploited, allowing us to completely bypass Windows Hello authentication on all three laptops.