笔记本电脑指纹传感器漏洞分析

重点摘要

最近发现Microsoft、Dell和Lenovo的笔记本电脑在指纹传感器的安全设备连接协议（SDCP）实现上存在缺陷，这可能导致WindowsHello认证被绕过，进而引发应用程序访问和数据泄露等安全风险。尽管Microsoft设计的SDCP有效，但设备制造商在应用时的误解导致了潜在的安全隐患。这一信息来自的报道。

Microsoft的Surface X二合一设备没有激活SDCP，使得恶意软件可能会利用该漏洞劫持指纹传感器，BlackwingIntelligence的报告指出。此外，Lenovo的ThinkPadT14则采用了自定义的TLS加密协议，而非SDCP进行安全防护，这一协议容易通过设备的名称和序列号推导出加密密钥而被攻破。与此相对，攻击者可以利用DellInspiron 15的SDCP在Windows中直接激活，从而在登录请求处理期间加载Linux并收集指纹传感器的数据。

“微软在设计安全设备连接协议（SDCP）方面做得很好，旨在为主机与生物识别设备提供安全通道，但不幸的是，设备制造商似乎误解了一些目标。” 研究人员表示。

设备制造商 | 存在问题 | 详情
—|—|—
Microsoft | SDCP未激活 | Surface X没有激活SDCP，可能导致指纹传感器被劫持。
Lenovo | 自定义加密 | ThinkPad T14使用TLS加密，容易受到加密密钥泄露的攻击。
Dell | SDCP激活 | Inspiron 15在Windows中激活SDCP，可能在登录时被攻击者利用。

这一系列漏洞提醒我们在使用含有生物识别技术的设备时，必须保持高度警惕，确保所有安全措施均已到位。