Windows Hello: Fingerabdruckauthentifizierung konnte umgangen werden

Die Authentifizierung per Fingerabdruck von Windows Hello auf Laptops von Marken wie Dell, Lenovo und Microsoft wurde erfolgreich umgangen, wie The Verge berichtet. In den Sensoren stießen Sicherheitsforscher von Blackwing Intelligence auf eine Reihe von Schwachstellen. Um die Sicherheit der Fingerabdrucksensoren zu evaluieren, wurde Blackwing Intelligence von Microsofts Offensive Research and Security Engineering (MORSE) beauftragt. Die Ergebnisse ihrer Untersuchungen stellten sie auf der Microsofts BlueHat-Konferenz im Oktober dar.

Ziel der Untersuchung waren populäre Sensoren von Goodix, Synaptics und ELAN. In einem kürzlich veröffentlichten Blogpost beschreiben die Forscher, wie sie ein USB-Gerät entwickelten, das einen Man-in-the-Middle (MitM) Angriff durchführen kann. Ein solcher Angriff könnte Zugang zu einem entwendeten Laptop ermöglichen oder einen „evil maid“ Angriff auf ein unbeaufsichtigtes Gerät initiieren. Hierbei benötigt der Angreifer physischen Zugang auf Gerät. Der Name leitet sich von der Vorstellung ab, dass selbst eine vermeintlich vertrauenswürdige Person, wie ein Zimmermädchen in einem Hotel, die Gelegenheit nutzen könnte, um heimlich auf das Gerät zuzugreifen und schädliche Manipulationen vorzunehmen.

Die Fingerabdruckleser von verschiedenen Laptops, einschließlich dem Dell Inspiron 15, Lenovo ThinkPad T14 und Microsoft Surface Pro X, waren anfällig für Angriffe. Diese Angriffe ermöglichten den Forschern die Umgehung des Windows-Hello-Schutzes, vorausgesetzt, auf dem Gerät war zuvor die Fingerabdruck-Authentifizierung verwendet worden. Die Forscher von Blackwing Intelligence analysierten sowohl Hard- als auch Software und identifizierten Fehler in der kryptografischen Implementierung einer kundenspezifischen TLS auf dem Synaptics-Sensor. Der Prozess der Umgehung von Windows Hello erforderte außerdem die Dekodierung und Nachbildung von proprietären Protokollen.

Microsoft gab vor drei Jahren bekannt, dass fast 85 Prozent der Verbraucher Windows Hello zur Anmeldung bei Windows-10-Geräten verwendeten, anstatt ein Kennwort zu verwenden (Microsoft zählt jedoch eine einfache PIN als Verwendung von Windows Hello). Bereits 2021 war Microsoft gezwungen, eine Schwachstelle bei der Umgehung der Windows-Hello-Authentifizierung zu beheben (wir berichteten). Nicht klar ist, ob Microsoft allein in der Lage sein wird, die mögliche Schwachstelle zu beheben. Laut der Sicherheitsforscher habe man beim Secure Device Connection Protocol (SDCP) (dem Verbinder zwischen Host und Biometrie) gute Arbeit geleistet, allerdings haben Gerätehersteller wohl Fehler begangen.

Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.