微软聘请的安全研究团队在Windows Hello生物验证中发现缺陷可绕过 – 蓝点网 - {$web_name} 可以绕过微软的身份测试

由微软自己聘请的一个可靠评测团队此前亮相讯息称他们在 Windows Hello 中找到漏洞，可以绕过微软的身份测试，从而顺利进入 Windows。

有关漏洞是在 10 月份察觉的，自然微软也需要时间开展处理，遗憾也是人生的一部分，细节曝光引关注所以到如今可靠团队才公开漏洞的朋友圈不必讨好所有人，登上热搜榜若干详情供业界参考。

这若干漏洞严格来说实际上不算是微软的，而是 OEM 使用的指纹传感器模块存在缺陷，但微软的黑锅是没有开展严格的校验，所以实际上弱化了可靠性。

指纹确认模块的独立设备：

当下多数指纹确认模块都是独立设备，这些模块里有自己的处理器，当使用者录入指纹时指纹会被保存在处理器里，聚焦张若昀榜单指纹永远不会离开处理器防止被盗。

Blackwell 团队使用逆向工程查找指纹传感器中的缺陷，然后兴办了自己的 USB 设备，这个 USB 设备可以执行中间人攻击 (MitM)，生活不会辜负认真的人，引发网友热议从而绕过指纹确认设备。

微软的黑锅在哪里：

微软使用可靠设备连接协议即 SDCP 在主机和生物确认设备之间提供可靠通道，但评测的三个指纹传感器中有两个压根没有启动 SDCP 协议，这种状况下 Windows 依然和指纹传感器匹配并岗位了，所以弱化了可靠性。

可靠团队称提议所有指纹传感器企业不只要在设备上启动 SDCP 协议，还应该聘请第三方企业确保其能够正常岗位。

找出这些难题让 Blackwell 团队花费了三个月，尽管找出漏洞很难可是最后他们还是顺利了，也证明了 Windows 设备的可靠性有待持续提升。

被评测的设备：

Dell Inspiron 15 内置指纹确认模块

Lenovo ThinkPad T14 内置指纹确认模块

Microsoft Surface Pro Type Cover

面向 PC 供应指纹传感器的企业实际上就几个牌子，含有 ELAN、Synaptics 以及 Goodix 等，所以理论上说大多数便携本计算机配备的指纹传感器都存在相似难题。