Windows Hello: Fingerabdruckauthentifizierung konnte umgangen werden
Die Authentifizierung per Fingerabdruck von Windows Hello auf Laptops von Marken wie Dell, Lenovo und Microsoft wurde erfolgreich umgangen, wie The Verge berichtet. In den Sensoren stießen Sicherheitsforscher von Blackwing Intelligence auf eine Reihe von Schwachstellen. Um die Sicherheit der Fingerabdrucksensoren zu evaluieren, wurde Blackwing Intelligence von Microsofts Offensive Research and Security Engineering (MORSE) beauftragt. Die Ergebnisse ihrer Untersuchungen stellten sie auf der Microsofts BlueHat-Konferenz im Oktober dar.
Ziel der Untersuchung waren populäre Sensoren von Goodix, Synaptics und ELAN. In einem kürzlich veröffentlichten Blogpost beschreiben die Forscher, wie sie ein USB-Gerät entwickelten, das einen Man-in-the-Middle (MitM) Angriff durchführen kann. Ein solcher Angriff könnte Zugang zu einem entwendeten Laptop ermöglichen oder einen „evil maid“ Angriff auf ein unbeaufsichtigtes Gerät initiieren. Hierbei benötigt der Angreifer physischen Zugang auf Gerät. Der Name leitet sich von der Vorstellung ab, dass selbst eine vermeintlich vertrauenswürdige Person, wie ein Zimmermädchen in einem Hotel, die Gelegenheit nutzen könnte, um heimlich auf das Gerät zuzugreifen und schädliche Manipulationen vorzunehmen.
Die Fingerabdruckleser von verschiedenen Laptops, einschließlich dem Dell Inspiron 15, Lenovo ThinkPad T14 und Microsoft Surface Pro X, waren anfällig für Angriffe. Diese Angriffe ermöglichten den Forschern die Umgehung des Windows-Hello-Schutzes, vorausgesetzt, auf dem Gerät war zuvor die Fingerabdruck-Authentifizierung verwendet worden. Die Forscher von Blackwing Intelligence analysierten sowohl Hard- als auch Software und identifizierten Fehler in der kryptografischen Implementierung einer kundenspezifischen TLS auf dem Synaptics-Sensor. Der Prozess der Umgehung von Windows Hello erforderte außerdem die Dekodierung und Nachbildung von proprietären Protokollen.
Microsoft gab vor drei Jahren bekannt, dass fast 85 Prozent der Verbraucher Windows Hello zur Anmeldung bei Windows-10-Geräten verwendeten, anstatt ein Kennwort zu verwenden (Microsoft zählt jedoch eine einfache PIN als Verwendung von Windows Hello). Bereits 2021 war Microsoft gezwungen, eine Schwachstelle bei der Umgehung der Windows-Hello-Authentifizierung zu beheben (wir berichteten). Nicht klar ist, ob Microsoft allein in der Lage sein wird, die mögliche Schwachstelle zu beheben. Laut der Sicherheitsforscher habe man beim Secure Device Connection Protocol (SDCP) (dem Verbinder zwischen Host und Biometrie) gute Arbeit geleistet, allerdings haben Gerätehersteller wohl Fehler begangen.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Interessant! Man braucht aber noch physischen Zugriff auf das Gerät. Mal sehen, ob die Schwachstelle über ein Update behoben werden kann. Was mir im persönlichen Umfeld bereits mehrmals aufgefallen ist: Leute sperren sich über ihren Microsoft Account oder Windows Hello aus ihren Laptops aus. Gibt da einige Fallstricke zu beachten, je nach Gerätehersteller gibt es hier Optionen die Hello enforcen (Erlauben Sie die Anmeldung mit Windows Hello aus Sicherheitsgründen nur für Microsoft Konten…).. Am besten ein 2. lokales Konto mit Adminrechten einrichten.
Tja, dann gibt es morgen wohl die nächste Gruppenrichtlinie
Bei uns eh schon jetzt nicht zulässig.
Wie melden sich die Nutzer bei euch an?
Passwort + Sicherheitsschlüssel + Venenscanner?
Hello, mit Fingerprint ,verwende ich schon seit Jahren auf meinem PC.
Nicht nur fürs Login, sondern auch für alles Andere, das sich damit kontrollieren lässt.
Dass damit keine hundertprozentige Sicherheit möglich ist, war von Anfang an klar,
aber vor neugierigen Zugriffen schützt es.
Ein Angreifer, der vollen Zugriff auf den PC hat, gegen den hilft ohnehin nicht viel.
Anekdote am Rande:
Vor Jahren hat immer irgendwer an meinem PC auf Arbeit rumgefummelt…
Habe das Gehäuse mit Karosserieschrauben auf der Arbeitsplatte befestigt und das Gehäuse mit Blindnieten verschlossen.
Danach war Ruhe.