Windows Hello: Gesichtserkennung ließ sich mit Infrarotbildern austricksen

Die Gesichtserkennung von Windows Hello ließ sich unter spezifischen Umständen austricksen. Das zeigten Sicherheitsforscher der Firma CyberArk. Microsoft hat dieses Problem mittlerweile allerdings behoben. Zurückzuführen war die Sicherheitslücke auf den Umgang mit via USB verbundenen Webcams und Infrarot-Bildern.

So entdeckte man, dass Infrarot-Aufnahmen nicht mit derselben Sicherheit verarbeitet worden sind, wie die Bilder von RGB-Kameras. Daher war es möglich, via USB ein Gerät anzuschließen, dass eine Webcam imitierte und einfach ein zuvor angefertigtes Infrarot-Bild des Windows-Hello-Nutzers einspeiste. Normalerweise würde so eine Verwendung eines statischen Fotos bei Windows Hello nicht durchgehen, in diesem Szenario funktionierte es jedoch.

Wie ihr schon seht, benötigt der Angreifer hier physischen Zugriff auf den jeweiligen Rechner. Außerdem muss er über ein Infrarot-Bild des Benutzers verfügen. Microsoft hat diese Lücke, die als CVE-2021-3466 erfasst worden ist, mittlerweile geschlossen. Angriffe sind also nicht mehr darüber möglich. Ein Video zeigt das Procedere einmal. Mehr zu den technischen Details könnt ihr wiederum auch hier nachlesen.

In diesem Artikel sind Amazon-Links enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hauptberuflich hilfsbereiter Technik-, Games- und Serien-Geek. Nebenbei Doc in Medienpädagogik und Möchtegern-Schriftsteller. Hofft heimlich eines Tages als Ghostbuster sein Geld zu verdienen oder zumindest das erste Proton Pack der Welt zu testen. Mit geheimniskrämerischem Konto auch bei Facebook zu finden. PayPal-Kaffeespende an den Autor.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

5 Kommentare

  1. NetzBlogR says:

    Darum sage ich immer wieder: Solche Erkennungssysteme (Fingerprint, Gesicht, …) sind reine Bequemlichkeitslösungen – aber nicht für die Sicherheit geeignet.

    Meinen Finger kann man einfach auf den Sensor drücken, mein Gesicht vor die Kamera bewegen und schon ist man im System – ein Passwort muss man erst aus mir rausfoltern.

    • In der Aussage stimme ich dir zu, auf der anderen Seite aber dürfte biometrische Erkennung in den meisten Fällen ausreichend sicher sein. In Fällen wie diesen bin ich sogar der Meinung, dass das zwar ein Fehler ist, der behoben werden sollte (was ja bereits geschehen ist), letztlich aber dürfte das für die Masse der Anwender nur theoretisch tatsächlich ein Problem darstellen. Wenn der Angreifer Zugriff auf das Gerät erlangen konnte, liegen die wirklichen Probleme (auch noch) an anderer Stelle.

      • Christian says:

        Vorallem sehe ich ein Vorteil auch wenn die biometrischen eher „unsicher“ sind: sonst würden Menschen erst gar keine Displaysperre aus Bequemlichkeit einrichten.

    • Also wenn der Angreifer dich und dein Gerät hat dann bringt ein Passwort jetzt nicht so viel.

  2. Mal wieder viel Geschrei um nichts:
    Im Smartphone ist die Cam festverbaut….. warum sollte ich da ne USB-Cam anschließen?
    Bei den Tablets und Laptops das gleiche……
    Ab der Stelle „…..unter bestimmten Voraussetzungen/Bedingungen/Umständen……“ bleibt dann nur noch ein Schmunzeln übrig.
    Wenn ich das schon lese…… physischen Zugang zum Gerät, und dann auch noch ein IR Bild des Benutzers……
    Wenn jemand schon physischen Zugang hat, hat man, glaube ich, ganz andere Probleme, als ein Windows Hello, dass sich durch IR überlisten lässt.
    Wenn Windows Hello wenigstens immer funktionieren würde….. auf meinem Surface Pro 7 muss ich öfters den ausgewählten Pin eingeben, als mir lieb ist. Und wehe, Du schaust nicht frontal in die Kamera, sondern halb zur Seite…..
    Apropos Sicherheit…… natürlich ist das nur Bequemlichkeit. Wenn man sich dessen bewusst ist, kann man es imho unbedenklich nutzen. Dann trifft man eben auch Vorkehrungen, dass „Sicherheitsexperten“ mit physischen Zugang eben nicht einfach so an sensible Daten kommen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.