إذًا، كيف يمكن للأشخاص اختراق فحص بصمة الإصبع في Windows Hello، وهل يجب أن تقلق بشأن ذلك؟

هل يستطيع الأشخاص اختراق ماسحات بصمات الأصابع لنظام Windows Hello؟

إذا أراد أحد المتسللين تجاوز الماسح الضوئي لبصمات الأصابع على جهاز يعمل بنظام Windows، فهو يهدف إلى تجاوز خدمة تسمى Windows Hello. تتعامل هذه الخدمة مع كيفية تسجيل الدخول إلى Windows، مثل أرقام التعريف الشخصية (PIN) ومسح الوجه ومسح بصمات الأصابع.

كجزء من البحث في قوة Windows Hello، قام اثنان من قراصنة القبعة البيضاء، Jesse D'Aguanno وTimo Teräs، بنشر تقرير على موقعهم على الإنترنت، Blackwing HQ. ويوضح التقرير كيفية اختراق ثلاثة أجهزة مشهورة: Dell Inspiron 15، وLenovo ThinkPad T14، وMicrosoft Surface Pro Type Cover.

كيف اخترق المتسللون نظام Windows Hello على جهاز Dell Inspiron 15

بالنسبة لجهاز Dell Inspiron 15، لاحظ المتسللون أن بإمكانهم تشغيل Linux على الكمبيوتر المحمول. بمجرد تسجيل الدخول إلى Linux، يمكنهم تسجيل بصمات أصابعهم في النظام ومنحه نفس المعرف الخاص بمستخدم Windows الذي يريدون تسجيل الدخول إليه.

بعد ذلك، يقومون بهجوم رجل في الوسط على الاتصال بين الكمبيوتر والمستشعر. لقد قاموا بإعداده بحيث عندما يقوم Windows بالتحقق مرة أخرى من شرعية بصمة الإصبع الممسوحة ضوئيًا، ينتهي الأمر بالتحقق من قاعدة بيانات Linux الخاصة ببصمات الأصابع بدلاً من بصمات الأصابع الخاصة به.

لتفادي Windows Hello، قام المتسللون بتحميل بصمات أصابعهم إلى قاعدة بيانات Linux، وخصصوا لها نفس معرف المستخدم على Windows، ثم حاولوا تسجيل الدخول إلى Windows باستخدام بصمات أصابعهم. أثناء عملية المصادقة، قاموا بإعادة توجيه الحزمة إلى قاعدة بيانات Linux، والتي أخبرت Windows أن المستخدم بالمعرف المحدد جاهز لتسجيل الدخول.

كيف اخترق المتسللون Windows Hello على Lenovo ThinkPad T14

بالنسبة لجهاز Lenovo ThinkPad، اكتشف المتسللون أن الكمبيوتر المحمول يستخدم طريقة تشفير مخصصة للتحقق من بصمات الأصابع. ومع بعض العمل، تمكن المتسللون من فك تشفيره، مما أتاح لهم طريقة لإجراء عملية التحقق من بصمات الأصابع.

بمجرد الانتهاء من ذلك، يمكن للمتسللين إجبار قاعدة بيانات بصمات الأصابع على قبول بصمة إصبعهم باعتبارها بصمة المستخدم. بعد ذلك، كل ما كان عليهم فعله هو مسح بصمات أصابعهم للوصول إلى Lenovo ThinkPad.

كيف اخترق المتسللون Windows Hello على Microsoft Surface Pro Type Cover

اعتقد المتسللون أن Surface Pro سيكون الجهاز الأصعب في الاختراق، لكنهم فوجئوا عندما اكتشفوا أن Surface Pro يفتقر إلى الكثير من التدابير الأمنية للتحقق من بصمات الأصابع الصحيحة. في الواقع، اكتشفوا أنه لم يكن عليهم سوى مراوغة دفاع واحد فقط، ثم إخبار Surface Pro بأن فحص بصمات الأصابع كان ناجحًا، وسمح لهم الجهاز بالدخول.

ماذا تعني لك هذه الاختراقات؟

قد تبدو هذه الاختراقات مخيفة جدًا إذا كنت تستخدم بصمات الأصابع لتسجيل الدخول إلى الكمبيوتر المحمول الخاص بك. ومع ذلك، من الضروري أن تتذكر بعض الأشياء المهمة قبل أن تتخلى عن مسح بصمات الأصابع تمامًا.

1. تم تنفيذ الهجمات من قبل قراصنة ماهرين

السبب وراء كون التهديدات مثل برامج الفدية كخدمة مميتة للغاية هو أن أي شخص يتمتع بالحد الأدنى من الأمن السيبراني يمكنه استخدامها. ومع ذلك، تتطلب الاختراقات المذكورة أعلاه مستوى عالٍ من الخبرة، مع فهم عميق لكيفية مصادقة الأجهزة على بصمات الأصابع وكيفية تجنبها.

2. تتطلب الهجمات من المهاجم التفاعل فعليًا مع الجهاز

يجب أن يكون لدى المتسللين اتصال جسدي بالجهاز لتنفيذ الاختراقات المذكورة أعلاه. في التقرير، ذكر المتسللون أنهم قد يكونون قادرين على إنشاء أجهزة USB يمكنها تنفيذ الهجوم بمجرد توصيلها، ولكن هذا يعني أن المهاجم المحتمل يحتاج إلى توصيل شيء ما بجهاز الكمبيوتر الخاص بك لاختراقه.

3. الهجمات تعمل فقط على أجهزة محددة

ستلاحظ أن كل هجوم كان عليه أن يتخذ مسارًا مختلفًا لتحقيق نفس الهدف. كل جهاز فريد من نوعه، والاختراق الذي يعمل على جهاز واحد قد لا يعمل على جهاز آخر. على هذا النحو، لا يجب أن تصدق أن Windows Hello قد أصبح الآن مفتوحًا على مصراعيه على كل جهاز؛ هؤلاء الثلاثة فقط هم الذين فشلوا.

على الرغم من أن هذه الاختراقات قد تبدو مخيفة، إلا أنه سيكون من الصعب تنفيذها ضد أهداف فعلية. من المحتمل أن يضطر المتسلل إلى سرقة الجهاز لتنفيذ هذه الاختراقات، الأمر الذي سيؤدي بلا شك إلى تنبيه المالك السابق.

كيفية البقاء في مأمن من اختراق بصمات الأصابع

كما هو مذكور أعلاه، فإن عمليات الاختراق المكتشفة معقدة وقد تتطلب من المتسلل إزالة الجهاز لاختراقه فعليًا. وعلى هذا النحو، هناك احتمال ضئيل للغاية أن تستهدفك هذه الهجمات شخصيًا.

ومع ذلك، إذا كنت لا تزال غير راضٍ، فهناك بعض الطرق لحماية نفسك من اختراقات الماسح الضوئي لبصمات الأصابع:

1. لا تترك الأجهزة دون مراقبة وغير محمية

لأن سيحتاج المتسلل إلى التفاعل مع جهازك جسديًا، ويجب عليك التأكد من عدم وقوعه في الأيدي الخطأ. بالنسبة لأجهزة الكمبيوتر، يمكنك اتخاذ خطوات لمنع سرقتها. إذا كنت تستخدم جهاز كمبيوتر محمول، فلا تتركه أبدًا بمفرده في مكان عام، واستخدم حقيبة كمبيوتر محمول مضادة للسرقة لمنع الأشخاص من تمزيق حقيبتك.

2. استخدم طريقة تسجيل دخول مختلفة

يدعم Windows Hello العديد من طرق تسجيل الدخول المختلفة، بعضها أكثر أمانًا من غيرها. إذا لم تعد تحب عمليات فحص بصمات الأصابع، فتحقق مما إذا كانت عمليات تسجيل الدخول بالوجه أو القزحية أو بصمة الإصبع أو رقم التعريف الشخصي أو كلمة المرور أكثر أمانًا، واختر ما يناسبك أكثر.

إذا كنت قلقًا بشأن هذه الاختراقات، فمن المهم أن تتذكر أن هناك فرصة منخفضة جدًا لاستهدافك على وجه التحديد. على هذا النحو، يجب أن تكون آمنًا باستخدام مسح بصمات الأصابع؛ فقط لا تسمح للناس بسرقة أجهزتك.