Güvenlik uzmanları, Microsoft'un öne çıkan biyometrik kimlik doğrulama sistemi Windows Hello'nun parmak izi sensörlerinde ciddi güvenlik açıkları tespit etti. Blackwing Intelligence'daki araştırmacılar, Dell, Lenovo ve hatta Microsoft'un kendi dizüstü bilgisayarlarında bulunan Windows Hello parmak izi kimlik doğrulamasının çeşitli zafiyetlere sahip olduğunu ortaya koydu.
Dell Inspiron 15, Lenovo ThinkPad T14 ve Microsoft Surface Pro X gibi popüler dizüstü bilgisayar modellerinde yapılan testlerde, güvenlik araştırmacıları, ilk üç parmak izi sensöründe birden fazla güvenlik açığı bulduklarını belirttiler. Genellikle Goodix, Synaptics ve ELAN markalarının parmak izi sensörlerini kullanan bu cihazlarda, hem donanım hem de yazılım düzeyinde kusurlar tespit edildi.
Özellikle, Synaptics sensörlerindeki güvenlik katmanında bulunan açıkların, kötü niyetli aktörlerin sistemi ele geçirmesine olanak tanıdığı vurgulandı. Ancak, güvenlik açıklarının sömürülmesi için donanım ve yazılımın karmaşık bir şekilde tersine mühendislik gerektirdiği belirtildi.
Bu durum, Windows Hello'nun biyometrik kimlik doğrulamasının ilk kez atlatılması değil. Daha önce kızıl ötesi görüntü kullanarak yüz tanıma özelliğinin atlatılmasıyla benzer bir durum yaşanmıştı. Araştırmacılar, Microsoft'un geçmişte bu tür güvenlik açıklarını düzelttiğini belirtse de, şu anki durumda firma tarafından ne kadar sürede ve ne şekilde bir çözüm getirileceği belirsiz.
Güvenlik araştırmacıları ayrıca, Microsoft'un Güvenli Cihaz Bağlantı Protokolü'nü (SDCP) kullanarak ana bilgisayar ve biyometrik cihazlar arasında güvenli bir bağlantı sağlama çabalarını takdir etti. Ancak, test edilen üç cihazdan ikisinde SDCP korumasının etkin olmadığına dikkat çekildi.
