主流笔记本电脑出现Windows Hello指纹识别身份身份验证漏洞

事件详情：

在近日举行的BlueHat安全大会上，研究人员演示了如何利用嵌入式指纹传感器中的一个安全漏洞绕过戴尔、联想和微软品牌笔记本电脑上的Windows Hello指纹身份验证。安全研究人员在微软(MORSE)赞助的研究中发现了该漏洞，该研究旨在评估笔记本电脑中用于Windows Hello指纹身份验证的嵌入式指纹传感器的安全性。接受安全评估的三个笔记本电脑产品型号分别为微软Surface Pro X、联想ThinkPad T14和戴尔Inspiron 15，这三款产品分别配备了由ELAN、Synaptics和Goodix制造的嵌入式指纹传感器。所有测试的指纹传感器都是片上匹配(MoC)传感器，自带微处理器和存储器，支持在芯片内安全执行指纹匹配。

研判认为：

目前，中国联想、微软、戴尔三家科技公司在中国PC市场占据了近一半的市场份额。如果有不法分子掌握这项Windows Hello指纹识别身份身份验证漏洞，那么受害主机等电子设备将会毫无保留的展现在黑客眼前。此外，Windows Hello指纹识别身份验证漏洞具有普遍性，这个漏洞将不仅仅会获取到民众的个人敏感信息甚至包括大量的保密数据。2020年微软曾公布过一个数据，使用Windows Hello代替密码登录Windows 10设备的用户数量从2019年的69.4%增长到了84.7%。我方应高度关注该事件动态，建议工信等行业主管部门研究出台相关行业标准进行规范，指导境内制造生物识别身份验证技术的厂商确保启用SDCP，阻止潜在攻击等措施。