Andres Cunningham
Desde que Windows 10 introdujo Windows Hello en 2015, la mayoría de las computadoras portátiles y tabletas con Windows se envían con algún tipo de dispositivo de autenticación biométrica instalado. A veces eso significa una cámara web infrarroja que escanea el rostro o el iris; a veces significa un sensor de huellas dactilares montado en el botón de encendido o en otra parte del dispositivo.
Si bien estos métodos de autenticación son convenientes, no son totalmente inmunes a los ataques de seguridad. En 2021, los investigadores pudieron engañar a algunas cámaras web IR de Windows Hello con imágenes infrarrojas de los rostros de los usuarios. Y la semana pasada, investigadores de Blackwing Intelligence publicaron un extenso documento que muestra cómo habían logrado solucionar algunos de los sensores de huellas dactilares más populares utilizados en las PC con Windows.
Los investigadores de seguridad Jesse D’Aguanno y Timo Teräs escriben que, con distintos grados de ingeniería inversa y utilizando hardware externo, pudieron engañar al sensor de huellas dactilares Goodix en una Dell Inspiron 15, al sensor Synaptic en una Lenovo ThinkPad T14 y el sensor ELAN en una de las fundas con teclado para Surface Pro de Microsoft. Estos son sólo tres modelos de portátiles del amplio universo de las PC, pero una de estas tres empresas suele fabricar el sensor de huellas dactilares en cada portátil que hemos analizado en los últimos años. Es probable que la mayoría de las PC con Windows con lectores de huellas digitales sean vulnerables a ataques similares.
La publicación de Blackwing sobre la vulnerabilidad también es una buena descripción general de cómo funcionan exactamente los sensores de huellas dactilares en una PC moderna. La mayoría de los lectores de huellas dactilares compatibles con Windows Hello utilizan sensores de «coincidencia en chip», lo que significa que el sensor tiene sus propios procesadores y almacenamiento que realizan todo el escaneo y la comparación de huellas dactilares de forma independiente sin depender del hardware de la PC host. Esto garantiza que no se pueda acceder ni extraer los datos de las huellas dactilares si la PC host se ve comprometida. Si está familiarizado con la terminología de Apple, esta es básicamente la forma en que se configura su Secure Enclave.
Se supone que la comunicación entre el sensor de huellas dactilares y el resto del sistema debe ser manejada por el Protocolo de conexión segura de dispositivo (SCDP). Este es un protocolo desarrollado por Microsoft cuyo objetivo es verificar que los sensores de huellas digitales sean confiables y no estén comprometidos, y cifrar el tráfico entre el sensor de huellas digitales y el resto de la PC.
Cada sensor de huellas dactilares fue finalmente derrotado por una debilidad diferente. El sensor de huellas dactilares Goodix de la computadora portátil Dell implementó SCDP correctamente en Windows pero no usó tales protecciones en Linux. Al conectar el sensor de huellas dactilares a una Raspberry Pi 4, el equipo pudo aprovechar la compatibilidad con Linux y la «mala calidad del código» para registrar una nueva huella digital que permitiría la entrada a una cuenta de Windows.
En cuanto a los lectores de huellas dactilares Synaptic y ELAN utilizados por Lenovo y Microsoft (respectivamente), el problema principal es que ambos sensores admitían SCDP pero en realidad no estaba habilitado. El panel táctil de Synaptic usó una implementación TLS personalizada para la comunicación que el equipo de Blackwing pudo explotar, mientras que el lector de huellas digitales Surface usó comunicación de texto sin cifrar a través de USB para la comunicación.
«De hecho, cualquier dispositivo USB puede pretender ser el sensor ELAN (falsificando su VID/PID) y simplemente afirmar que un usuario autorizado está iniciando sesión», escribieron D’Aguanno y Teräs.
Aunque, en última instancia, todos estos exploits requieren acceso físico a un dispositivo y un atacante decidido a ingresar a su computadora portátil específica, la amplia variedad de posibles exploits significa que no existe una solución única que pueda abordar todos estos problemas, incluso si los fabricantes de computadoras portátiles están motivados para implementarlos.
La primera recomendación de Blackwing es que todos los sensores de huellas dactilares de Windows Hello deberían habilitar y usar SCDP, el protocolo desarrollado por Microsoft para tratar de evitar que suceda exactamente este tipo de cosas. SCDP obviamente no es a prueba de balas, pero el único sensor de huellas dactilares que usaba SCDP requirió más tiempo y esfuerzo para entrar. Los fabricantes de PC también deberían «tener una auditoría externa experta calificada [their] implementación» para mejorar la calidad y seguridad del código.
Hay que reconocer que estos hallazgos se publican principalmente porque el equipo de Ingeniería de Seguridad e Investigación Ofensiva (MORSE) de Microsoft invitó a Blackwing Intelligence a intentar romper los sensores de huellas dactilares en primer lugar. Microsoft tiene mucho control sobre las cosas que los OEM de PC necesitan integrar en sus sistemas Windows, y la empresa puede decidir exigir el uso de SCDP u otras funciones en las PC en el futuro.
Más allá de estos exploits específicos, el equipo de Blackwing especula que puede haber más vulnerabilidades en el firmware de cada sensor de huellas dactilares y en las interfaces de depuración que pueden permitir otros ataques, y los lectores también podrían ser vulnerables a otros «ataques directos de hardware». El equipo planea investigar estas posibilidades en el futuro y también pretende analizar lectores de huellas digitales en dispositivos Linux, Android y Apple.