Windows Hello torna al centro dell'attenzione mediatica, a causa di una falla che, ancora una volta, mette in luce le criticità del sistema di autenticazione biometrica di Windows.
Due ricercatori di sicurezza tedeschi, Tillmann Osswald e Dr. Baptiste David, hanno infatti dimostrato durante la conferenza Black Hat di Las Vegas come sia possibile aggirare il sistema di riconoscimento facciale di Windows Hello for Business, sollevando importanti questioni sulla sicurezza dei dati biometrici su molti PC aziendali.
Durante una dimostrazione dal vivo, i ricercatori hanno mostrato come un utente malintenzionato che abbia già ottenuto i privilegi di amministratore locale su un computer (quindi un admin) possa, con poche righe di codice, iniettare la propria scansione facciale nel database biometrico crittografato del sistema. Pochi istanti dopo, l'attaccante è stato in grado di sbloccare il PC con il proprio volto, venendo riconosciuto come l'utente legittimo.
Il problema risiede nell'implementazione di Windows Hello su sistemi che non supportano la tecnologia di sicurezza più avanzata di Microsoft, denominata Enhanced Sign-in Security (ESS). Su queste macchine, l'accesso come amministratore locale può essere sufficiente per decifrare il database che contiene i modelli biometrici e modificarlo. L'ESS, invece, previene questo tipo di attacco isolando l'intero processo di autenticazione biometrica in un ambiente sicuro gestito dall'hypervisor di sistema.
Il punto cruciale, però, è che l'ESS ha requisiti hardware molto stringenti: necessita di una CPU moderna con supporto alla virtualizzazione, un chip TPM 2.0, Secure Boot e, soprattutto, sensori biometrici (fotocamera, lettore di impronte) appositamente certificati. Sebbene Microsoft imponga questo livello di protezione per la sua nuova linea di PC Copilot+, i ricercatori sottolineano che molti computer aziendali esistenti, anche recenti, non soddisfano questi requisiti.
Secondo Osswald e David, rilasciare una patch risolutiva per i sistemi non-ESS è "molto difficile" o quasi impossibile senza una profonda riprogettazione dell'architettura. Per questo motivo, la loro raccomandazione per gli utenti che utilizzano Windows Hello su macchine aziendali non dotate di ESS è drastica: disabilitare completamente l'autenticazione biometrica e utilizzare un metodo alternativo, come il PIN.
A complicare il quadro vi è la gestione delle periferiche esterne, che spesso non sono compatibili con l'ESS attivo, costringendo gli utenti a scegliere tra sicurezza e funzionalità. Un supporto completo e maturo per i dispositivi esterni con ESS non è atteso prima della fine del 2025.
Sony insists Xperia phones are ‘very important’ to it