Blackwing Intelligence 的安全研究人員在嵌入筆記型電腦的前三大指紋感應器中發現了多個漏洞，這些感應器被企業廣泛用於Windows Hello 指紋驗證，以確保筆記型電腦的安全。戴爾、聯想甚至微軟的筆記型電腦都被繞過了微軟的Windows Hello 指紋驗證。

微軟的進攻研究與安全工程（MORSE）要求Blackwing Intelligence對指紋感應器的安全性進行評估，研究人員在10月份的微軟BlueHat大會上的演講中提供了他們的發現。研究小組將Goodix、Synaptics 和ELAN 等公司的熱門指紋感應器作為研究目標，並在最新發表的一篇部落格文章中詳細介紹了建構可執行中間人（MitM）攻擊的USB 設備的深入過程。這種攻擊可以存取被盜的筆記型電腦，甚至可以對無人值守的設備發動”邪惡女僕”攻擊。

戴爾Inspiron 15、聯想ThinkPad T14 和微軟Surface Pro X 都是指紋辨識器攻擊的受害者，只要有人之前在裝置上使用過指紋驗證，研究人員就可以繞過Windows Hello 保護。Blackwing Intelligence 的研究人員對軟體和硬體進行了逆向工程，發現了Synaptics 感測器上客製化TLS 的加密實作缺陷。繞過Windows Hello 的複雜過程還涉及解碼和重新實施專有協定。

由於微軟對Windows Hello 和無密碼未來的推動，指紋感應器目前已被Windows 筆記型電腦用戶廣泛使用。微軟三年前曾透露，近85% 的消費者使用Windows Hello 登入Windows 10 設備，而不是使用密碼（不過，微軟將簡單的PIN 碼也算作使用Windows Hello）。

這已經不是Windows Hello 生物辨識身分驗證第一次被破解了。2021 年，微軟被迫修復了一個Windows Hello 驗證繞過漏洞，該漏洞涉及捕捉受害者的紅外線影像來欺騙Windows Hello 的臉部辨識功能。

不過，目前還不清楚微軟能否單獨修復這些最新漏洞。Blackwing Intelligence 的研究人員Jesse D’Aguanno 和Timo Teräs 在關於這些漏洞的深度報告中寫道：「微軟在設計安全設備連接協議（SDC​​P）以提供主機和生物識別設備之間的安全通道方面做得很好，但不幸的是，設備製造商似乎誤解了其中的一些目標。此外，SDCP 只覆蓋了典型設備非常狹窄的操作範圍，而大多數設備都暴露出相當大的攻擊面，根本不在SDCP 的覆蓋範圍內。”

研究人員發現，在他們鎖定的三台裝置中，有兩台沒有啟用微軟的SDCP 保護。現在，Blackwing Intelligence 建議原始設備製造商確保啟用SDCP，並確保指紋感應器的實施由合格的專家進行審核。Blackwing Intelligence 也正在探索對感測器韌體的記憶體破壞攻擊，甚至是Linux、Android 和蘋果裝置上的指紋感應器安全性。