Baru baru ini ada sebuah kelompok keamanan yang disewa Microsoft untuk menguji perangkat keras dan perangkat lunak otentikasi sidik jari Windows Hello, dimana berdasarkan dari pengujian yang mereka lakukan, mereka mengumumkan bahwa mereka dapat melewati teknologi tersebut pada sejumlah laptpo termasuk produk Microsoft Surface.
Baca Juga : Cara Mengaktifkan Fingerprint Di Windows 11
Kelompok peneliti keamanan tersebut bernama Blackwing Intelligence, dimana mereka mengungkapkan temuannya pada bulan Oktober sebagai bagian dari konferensi keamanan BlueHat Microsoft, namun seperti dilansir dari The Verge, mereka baru memposting hasilnya di situs resmi mereka minggu ini.
Postingan tersebut memiliki judul menarik yaitu “A Touch of Pwn” yang didalamnya menyatakan bahwa kelompok tersebut menggunakan sensor sidik jari didalam laptop Dell Inspiron 15, Lenovo ThinkPad T14, Microsoft Surface Pro Type Cover dengan ID Sidik Jari yang dibuat untuk Surface dan Tablet Pro 8 dan X dengan sensor sidik jari yang spesifik dibuat oleh Goodix, Synaptics, dan ELAN.
Dari apa yang dilaporkan kelompok keamanan tersebut, semua sensor sidik jari yang didukung Windows Hello yang mereka uji telah menggunakan perangkat keras “match on chip”, yang berarti otentikasi ditangani pada sensor itu sendiri yang mana memiliki mikroprosesor dan penyimpanannya sendiri.
A database of “fingerprint templates” (the biometric data obtained by the fingerprint sensor) is stored on-chip, and enrollment and matching is performed directly within the chip. Since fingerprint templates never leave the chip, this eliminates privacy concerns of biometric material being stored, and potentially exfiltrated, from the host — even if the host is compromised. This approach also prevents attacks that involve simply sending images of valid fingerprints to the host for matching.
Blackwing
Teknik yang digunakan Blackwing ini adalah reverse engineering untuk menemukan kelemahan pada sensor sidik jari dan kemudian membuat perangkat USB mereka sendiri yang dapat melakukan serangan MitM / man-in-the-middle. Perangkat ini kemudian akan melewati otentikasi sidik jari di perangkat keras yang terhubung sehingga Blackwing bisa melakukan bypasss secara langsung.
Sementara itu, dari laporan Blackwing dalam halaman resminya, mereka menunjukkan bahwa meskipun Microsoft menggunakan Secure Device Connection Protocol (SDCP) “untuk menyediakan saluran aman antara host dan perangkat biometrik“, dua dari tiga sensor sidik jari yang diuji bahkan tidak mengaktifkan SDCP. Blackwing juga merekomendasikan agar semua perusahaan sensor sidik jari tidak hanya mengaktifkan SDCP pada produk mereka tetapi juga meminta perusahaan pihak ketiga untuk memastikannya berfungsi.
Proses Bypass Tidak Cepat!
Meskipun bisa dibobol, namun Blackwing mencatat bahwa mereka membutuhkan waktu sekitar 3 bulan untuk melewati produk perangkat keras ini.
In all, this research took approximately three months and resulted in three 100% reliable bypasses of Windows Hello authentication!
Tapi tentu, meskipun butuh waktu lama, namun pada akhirnya tetap saja bisa dibobol sehingga para penyedia perangkat harus bisa meningkatkan keamanan mereka.
Nah untuk informasi dan laporan mengenai hal ini bisa kamu baca pada halaman blog Blackwing berikut, atau kamu bisa melihat konferensi BlueHat pada video Youtube berikut :
