Windows Hello: Angeblich mit Foto des Nutzers umgehbar

Zwei deutsche Sicherheitsexperten wollen das biometrische Authentifizierungsverfahren Windows Hello von Microsoft ausgetrickst haben. Laut Aussagen der Macher konnte man das Verfahren in verschiedenen Versionen von Windows 10 überlisten. Der Trick liest sich erst einmal einfach. Der Angreifer benötigt lediglich einen speziellen Papierausdruck mit dem Gesicht einer berechtigten Person. Dann wird es aber weniger einfach:

Was den Papierausdruck besonders macht, sind die folgenden Eigenschaften:

• Das Gesicht der Person wurde frontal fotografiert
• Die Aufnahme der Person wurde im Nahinfrarotbereich erstellt
• Helligkeit und Kontrast der Aufnahme wurden mit einfachen Mitteln verändert
• Der Papierausdruck wurde mit einem Laserdrucker erzeugt

Im Frühjahr 2018 wolle man Ergebnisse und Details des Forschungsprojekts veröffentlichen, beispielsweise zu unterschiedlichen Variationen des Angriffs. Die Macher haben ein Proof-of-Concept-Video „Biometricks: Windows Hello Face Authentication Bypass PoC II“ veröffentlicht:

Wichtig zu wissen:  Nach bisher gewonnenen Erkenntnissen der Entdecker sind die neueren Windows 10-Versionen (Branches) 1703 und 1709 mit Nutzung der „Enhanced Anti-Spoofing“-Funktionalität und entsprechender Hardware nicht anfällig für den hier beschriebenen Spoofing-Angriff mit einem Papierausdruck. Die SySS GmbH empfiehlt daher, bei der Verwendung von Windows Hello Face Authentication das Windows-Betriebssystem auf die neuste Version von 1709 zu aktualisieren, „Enhanced Anti-Spoofing“ zu aktivieren und im Anschluss daran Windows Hello Face Authentication neu zu konfigurieren.