由微軟自己聘請的微軟物驗一個安全測試團隊日前發布消息稱他們在 Windows Hello 中找到漏洞，可以繞過微軟的聘請身份驗證，從而成功進入 Windows。安隊W點網

相關漏洞是全研缺陷在 10 月份發現的，當然微軟也需要時間進行處理，究團所以到現在安全團隊才公布漏洞的證中部分細節供業界參考。

這部分漏洞嚴格來說其實不算是發現微軟的，而是可繞 OEM 使用的指紋傳感器模塊存在缺陷，但微軟的過藍黑鍋是沒有進行嚴格的校驗，因此實際上弱化了安全性。微軟物驗

指紋識別模塊的聘請獨立硬件：

目前多數指紋識別模塊都是獨立硬件，這些模塊里有自己的安隊W點網芯片，當用戶錄入指紋時指紋會被保存在芯片里，全研缺陷指紋永遠不會離開芯片防止被盜。究團

Blackwell 團隊使用逆向工程查找指紋傳感器中的證中缺陷，然后創建了自己的 USB 設備，這個 USB 設備可以執行中間人攻擊 (MitM)，從而繞過指紋識別硬件。

微軟的黑鍋在哪里：

微軟使用安全設備連接協議即 SDCP 在主機和生物識別設備之間提供安全通道，但測試的三個指紋傳感器中有兩個壓根沒有啟用 SDCP 協議，這種情況下 Windows 依然和指紋傳感器匹配并工作了，因此弱化了安全性。

安全團隊稱建議所有指紋傳感器公司不僅要在設備上啟用 SDCP 協議，還應該聘請第三方公司確保其能夠正常工作。

找出這些問題讓 Blackwell 團隊花費了三個月，雖然找出漏洞很難不過最終他們還是成功了，也證明了 Windows 設備的安全性有待繼續提高。

被測試的設備：

Dell Inspiron 15 內置指紋識別模塊

Lenovo ThinkPad T14 內置指紋識別模塊

Microsoft Surface Pro Type Cover

面向 PC 供應指紋傳感器的公司其實就幾個品牌，包括 ELAN、Synaptics 以及 Goodix 等，所以理論上說大多數筆記本電腦配備的指紋傳感器都存在類似問題。

(責任編輯：知識)