تلعب أنظمة المصادقة البيومترية دورًا حيويًا في توفير أمان عالي للأنظمة الرقمية. ومن بين هذه الأنظمة، يبرز نظام المُصادقة البيومترية في “Windows Hello” كخيار يعتمد على التعرف على الوجه وبصمة الإصبع. ومع التقدم التكنولوجي، لاحظنا في الآونة الأخيرة تقارير حول اختراقات مُحتملة لهذا النظام الأمني. في هذا السياق، يتساءل الكثيرون عما إذا كان ينبغي لهم الاستمرار في استخدام “Windows Hello” أم يجب البحث عن بدائل أكثر أمانًا.
يُعد تسجيل الدخول إلى كمبيوتر محمول يعمل بنظام Windows باستخدام ميزة الدخول ببصمة الإصبع أمرًا سهلاً؛ فقط ضع إصبعك على المُستشعر المُخصص، وسيسمح لك نظام التشغيل بالدخول. ومع ذلك، أظهر الباحثون أنه على الرغم من أنَّ هذه الطريقة مُريحة، إلا أنها ليست مقاومة للاختراق.
إذًا، كيف يُمكن للأشخاص اختراق نظام المُصادقة البيومترية في Windows Hello، وهل يجب أن تقلق بشأنه؟ تحقق من Windows 11 يُعتبر أكثر أمانًا من Windows 10: إليك السبب.
هل هناك من يستطيع اختراق ميزة الدخول ببصمة الإصبع في Windows Hello؟
إذا أراد أحد المُتسللين تجاوز أمان مُستشعر بصمة الإصبع على جهاز يعمل بنظام Windows، فهو يهدف إلى تجاوز خدمة تُسمى Windows Hello. تتعامل هذه الخدمة مع كيفية تسجيل الدخول إلى Windows، مثل أرقام التعريف الشخصية (PIN) والتعرف على الوجه ومُستشعر بصمة الإصبع.
كجزء من البحث في قوة Windows Hello ومدى تأمينها، نشر اثنان من قراصنة القبعة البيضاء، جيسي داجوانو وتيمو تيراس، تقريرًا على موقعهم الإلكتروني، Blackwing HQ. ويُوضح التقرير كيفية اختراق ثلاثة أجهزة مشهورة: Dell Inspiron 15، و Lenovo ThinkPad T14، و Microsoft Surface Pro Type Cover.
كيف تمكَّن المُتسللون من اختراق Windows Hello على Dell Inspiron 15
بالنسبة لجهاز Dell Inspiron 15، لاحظ المُتسللون أنَّ بإمكانهم تشغيل Linux على الكمبيوتر المحمول. بمجرد تسجيل الدخول إلى Linux، يُمكنهم تسجيل بصمات أصابعهم في النظام ومنحه نفس المُعرِّف الخاص بمستخدم Windows الذي يُريدون تسجيل الدخول إليه.
بعد ذلك، يقومون بهجوم الوسيط (MITM) على الاتصال بين الكمبيوتر والمُستشعر. لقد قاموا بإعداده بحيث عندما يقوم Windows بالتحقق مرة أخرى من شرعية بصمة الإصبع الممسوحة ضوئيًا، ينتهي الأمر بالتحقق من قاعدة بيانات Linux الخاصة ببصمات الأصابع بدلاً من بصمات الأصابع الخاصة به.
لتفادي Windows Hello، قام المُتسللون بتحميل بصمات أصابعهم إلى قاعدة بيانات Linux، وتخصيص نفس معرف المستخدم على Windows، ثم حاولوا تسجيل الدخول إلى Windows باستخدام بصمات أصابعهم. أثناء عملية المُصادقة، قاموا بإعادة توجيه الحزمة إلى قاعدة بيانات Linux، والتي أخبرت Windows أنَّ المستخدم بالمُعرِّف المُحدد جاهز لتسجيل الدخول.
كيف تمكَّن المُتسللون من اختراق Windows Hello على Lenovo ThinkPad T14
بالنسبة لجهاز Lenovo ThinkPad، اكتشف المُتسللون أن الكمبيوتر المحمول يستخدم طريقة تشفير مُخصصة للتحقق من تفاصيل بصمات الأصابع. ومع بعض العمل، تمكن المتسللون من فك تشفيره، مما أتاح لهم طريقة لإجراء عملية التحقق من بصمات الأصابع.
وبمجرد الانتهاء من ذلك، يُمكن للمتسللين إجبار قاعدة بيانات بصمات الأصابع على قبول بصمات أصابعهم باعتبارها بصمة المستخدم. بعد ذلك، كل ما كان عليهم فعله هو مسح بصمات أصابعهم ضوئيًا للوصول إلى Lenovo ThinkPad.
كيف تمكَّن المُتسللون من اختراق Windows Hello على Microsoft Surface Pro Type Cover
اعتقد المُتسللون أنَّ Surface Pro سيكون الجهاز الأصعب في الاختراق، لكنهم فوجئوا عندما اكتشفوا أنَّ Surface Pro يفتقر إلى الكثير من الإجراءات الأمنية للتحقق من بصمات الأصابع الصحيحة. في الواقع، اكتشفوا أنه لم يكن عليهم سوى مراوغة دفاع واحد فقط، ثم إخبار Surface Pro بأنَّ فحص بصمات الأصابع كان ناجحًا، وسمح لهم الجهاز بالدخول. تحقق من ما هو اختبار الاختراق كخدمة (PTaaS) وهل تحتاجه؟
ماذا تعني هذه الاختراقات بالنسبة لك؟
قد تبدو هذه الاختراقات مُخيفة جدًا إذا كنت تستخدم مُستشعر بصمة الإصبع لتسجيل الدخول إلى الكمبيوتر المحمول الخاص بك. ومع ذلك، من الضروري أن تتذكر بعض الأشياء المُهمة قبل أن تتخلى عن نظام المُصادقة البيومترية تمامًا.
1. تم تنفيذ الهجمات من قبل قراصنة ماهرين
السبب وراء كون التهديدات مثل برامج الفدية كخدمة مُميتة للغاية هو أنَّ أي شخص يتمتع بالحد الأدنى من الأمن السيبراني يُمكنه استخدامها. ومع ذلك، تتطلب الاختراقات المذكورة أعلاه مستوى عالٍ من الخبرة، مع فهم عميق لكيفية مصادقة الأجهزة على بصمات الأصابع وكيفية تجنبها.
2. تتطلب الهجمات من المُتسلل التفاعل فعليًا مع الجهاز
يجب أن يكون لدى المُتسللين اتصال فعلي بالجهاز لتنفيذ عمليات الاختراق المذكورة أعلاه. في التقرير، ذكر المتسللون أنهم قد يكونون قادرين على إنشاء أجهزة USB يمكنها تنفيذ الهجوم بمجرد توصيلها، ولكن هذا يعني أن المهاجم المحتمل يحتاج إلى توصيل شيء ما بالكمبيوتر الخاص بك لاختراقه.
3. تعمل الهجمات على أجهزة مُحددة فقط
ستُلاحظ أنَّ كل هجوم كان عليه أن يسلك مسارًا مختلفًا لتحقيق نفس الهدف. كل جهاز فريد من نوعه، والاختراق الذي يعمل على جهاز واحد قد لا يعمل على جهاز آخر. على هذا النحو، لا يجب أن تُصدق أن Windows Hello قد أصبحت الآن مفتوحةً على مصراعيها على كل جهاز؛ هذه الأجهزة الثلاثة فقط هي التي فشلت.
على الرغم من أن هذه الاختراقات قد تبدو مُخيفة، إلا أنه سيكون من الصعب تنفيذها ضد أهداف فعلية. من المحتمل أن يضطر المتسلل إلى سرقة الجهاز لتنفيذ هذه الاختراقات، الأمر الذي سيُؤدي بلا شك إلى تنبيه المالك السابق. تحقق من ما هي هجمات تراكب الشاشة؟ الطرق الفعّالة للدفاع ضد هذا النوع من الهجمات.
كيفية البقاء في مأمن من اختراق بصمات الأصابع
كما هو مذكور أعلاه، فإنَّ عمليات الاختراق المُكتشفة مُعقَّدة وقد تتطلب من المتسلل الوصول إلى الجهاز لاختراقه فعليًا. وعلى هذا النحو، هناك احتمال ضئيل جدًا أن تستهدفك هذه الهجمات شخصيًا.
ومع ذلك، إذا كنت لا تزال غير راضٍ، فهناك بعض الطرق لحماية نفسك من اختراقات مُستشعر بصمة الإصبع:
1. لا تترك الأجهزة دون مراقبة أو حماية
نظرًا لأن المُتسلل سيحتاج إلى التفاعل مع جهازك فعليًا، فيجب عليك التأكد من عدم وقوعه في الأيدي الخطأ. بالنسبة لأجهزة الكمبيوتر، يمكنك اتخاذ خطوات لمنع سرقتها. إذا كنت تستخدم كمبيوتر محمول، فلا تتركه أبدًا بمفرده في مكان عام، واستخدم حقيبة كمبيوتر محمول مضادة للسرقة لمنع الأشخاص من فتح حقيبتك.
2. استخدم طريقة تسجيل دخول مختلفة
تدعم Windows Hello العديد من طرق تسجيل الدخول المختلفة، بعضها أكثر أمانًا من غيرها. إذا لم تعد تحب عمليات فحص بصمات الأصابع، فتحقق مما إذا كانت عمليات تسجيل الدخول بالوجه أو القزحية أو بصمة الإصبع أو رقم التعريف الشخصي أو كلمة السر الأكثر أمانًا، واختر ما يُناسبك أكثر.
إذا كنت قلقًا بشأن هذه الاختراقات، فمن المهم أن تتذكر أن هناك فرصة ضئيلة جدًا لاستهدافك على وجه التحديد. على هذا النحو، يجب أن تكون آمنًا باستخدام مُستشعر بصمة الإصبع؛ فقط لا تسمح لأي شخص بسرقة أجهزتك. يُمكنك الإطلاع الآن على أول الأشياء التي يجب عليك القيام بها عند الحصول على كمبيوتر محمول جديد.
