Windows Hello: Gesichtserkennung ließ sich mit Infrarotbildern austricksen
von André Westphal | 5 Kommentare
Die Gesichtserkennung von Windows Hello ließ sich unter spezifischen Umständen austricksen. Das zeigten Sicherheitsforscher der Firma CyberArk. Microsoft hat dieses Problem mittlerweile allerdings behoben. Zurückzuführen war die Sicherheitslücke auf den Umgang mit via USB verbundenen Webcams und Infrarot-Bildern.
So entdeckte man, dass Infrarot-Aufnahmen nicht mit derselben Sicherheit verarbeitet worden sind, wie die Bilder von RGB-Kameras. Daher war es möglich, via USB ein Gerät anzuschließen, dass eine Webcam imitierte und einfach ein zuvor angefertigtes Infrarot-Bild des Windows-Hello-Nutzers einspeiste. Normalerweise würde so eine Verwendung eines statischen Fotos bei Windows Hello nicht durchgehen, in diesem Szenario funktionierte es jedoch.
Wie ihr schon seht, benötigt der Angreifer hier physischen Zugriff auf den jeweiligen Rechner. Außerdem muss er über ein Infrarot-Bild des Benutzers verfügen. Microsoft hat diese Lücke, die als CVE-2021-3466 erfasst worden ist, mittlerweile geschlossen. Angriffe sind also nicht mehr darüber möglich. Ein Video zeigt das Procedere einmal. Mehr zu den technischen Details könnt ihr wiederum auch hier nachlesen.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Darum sage ich immer wieder: Solche Erkennungssysteme (Fingerprint, Gesicht, …) sind reine Bequemlichkeitslösungen – aber nicht für die Sicherheit geeignet.
Meinen Finger kann man einfach auf den Sensor drücken, mein Gesicht vor die Kamera bewegen und schon ist man im System – ein Passwort muss man erst aus mir rausfoltern.
In der Aussage stimme ich dir zu, auf der anderen Seite aber dürfte biometrische Erkennung in den meisten Fällen ausreichend sicher sein. In Fällen wie diesen bin ich sogar der Meinung, dass das zwar ein Fehler ist, der behoben werden sollte (was ja bereits geschehen ist), letztlich aber dürfte das für die Masse der Anwender nur theoretisch tatsächlich ein Problem darstellen. Wenn der Angreifer Zugriff auf das Gerät erlangen konnte, liegen die wirklichen Probleme (auch noch) an anderer Stelle.
Vorallem sehe ich ein Vorteil auch wenn die biometrischen eher „unsicher“ sind: sonst würden Menschen erst gar keine Displaysperre aus Bequemlichkeit einrichten.
Also wenn der Angreifer dich und dein Gerät hat dann bringt ein Passwort jetzt nicht so viel.
Mal wieder viel Geschrei um nichts:
Im Smartphone ist die Cam festverbaut….. warum sollte ich da ne USB-Cam anschließen?
Bei den Tablets und Laptops das gleiche……
Ab der Stelle „…..unter bestimmten Voraussetzungen/Bedingungen/Umständen……“ bleibt dann nur noch ein Schmunzeln übrig.
Wenn ich das schon lese…… physischen Zugang zum Gerät, und dann auch noch ein IR Bild des Benutzers……
Wenn jemand schon physischen Zugang hat, hat man, glaube ich, ganz andere Probleme, als ein Windows Hello, dass sich durch IR überlisten lässt.
Wenn Windows Hello wenigstens immer funktionieren würde….. auf meinem Surface Pro 7 muss ich öfters den ausgewählten Pin eingeben, als mir lieb ist. Und wehe, Du schaust nicht frontal in die Kamera, sondern halb zur Seite…..
Apropos Sicherheit…… natürlich ist das nur Bequemlichkeit. Wenn man sich dessen bewusst ist, kann man es imho unbedenklich nutzen. Dann trifft man eben auch Vorkehrungen, dass „Sicherheitsexperten“ mit physischen Zugang eben nicht einfach so an sensible Daten kommen.