Biometrie-Login bei Windows Hello geknackt
Quelle: Depositphotos

Biometrie-Login bei Windows Hello geknackt

Sicherheitsforschern ist es gelungen, die Authentifizierung via Fingerabdruck bei gewissen Geräten zu umgehen. Grund dafür ist die fehlende Implementierung des Sicherheitsprotokolls SCDP.
23. November 2023

     

Microsoft hat eine Sicherheitsstudie in Auftrag gegeben, um die Sicherheit vom Login bei Windows Hello via Fingerabdruck-Sensor zu überprüfen. Sicherheitsforscher von Blackwing Intelligence konnten ihrem Bericht zufolge die Sensoren bei den Geräten Dell Inspiron 15, Lenovo Thinkpad T14 sowie im Type-Cover für das Surface Pro 8/X von Microsoft umgehen. Die Forscher konnten mit Hilfe eines Linux-betriebenen Raspberry Pi 4 einen Man in the Middle Angriff erfolgreich durchführen und somit unbefugt auf die jeweiligen Geräte zugreifen.

Die im Test gescheiterten Sensoren stammen von den Herstellern Goodix, Synaptics und Elan. Es handelt sich bei allen Sensoren um Match on Chip Sensoren, welche mit einem Mikroprozessor und einem Speicher ausgestattet sind, um die Authentifizierung vorzunehmen. Selbige findet also nicht auf dem Hostsystem, sondern auf dem Chip selber statt. An das OS übertragen wird lediglich die Information einer erfolgreichen Authentifizierung. Letztere konnten die Forscher mit ihrem Raspberry Pi allerdings imitieren und somit den Anmeldeprozess überlisten.


Die Hauptursache für den erfolgreichen Angriff liegt den Forschern zu Folge am fehlenden Sicherheitsprotokoll SCDP von Microsoft. Dieses überträgt die Information einer erfolgreichen Anmeldung des Chips an den Host verschlüsselt, sodass der Man in the Middle Angriff nicht zielführend durchgeführt werden könnte. Die betroffenen Hersteller Lenovo, Dell sowie der Hersteller des Type-Covers haben das Protokoll allerdings nicht implementiert, sodass eine Sicherheitslücke entsteht, welche für den unbefugten Geräte-Zugriff missbraucht werden kann. (dok)



Weitere Artikel zum Thema

X auf der Jagd nach biometrischen Daten

4. September 2023 - Zur zusätzlichen Absicherung von Bezahl-Accounts will Twitter optional auf Biometrie setzen und dazu Daten von staatlichen IDs und Gesichtsbilder nutzen. Und Xs neue Jobplattform Hiring sammelt weitere Daten wie Job- und Ausbildungsprofile.

Fingerabdruck-Scanner sind nicht sicher

14. April 2020 - Passwörter sind zwar immer noch die traditionelle Authentifizierungsmethode für Computer und Netzwerke, doch biometrische Authentifizierung wie Netzhautabtastung, Gesichtserkennung und Fingerabdruck-Authentifizierung versprechen mehr Sicherheit. Besonders Fingerabdruck-Sensoren in Smartphones sind aber oft einfach auszutricksen.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Vor wem mussten die sieben Geisslein aufpassen?
GOLD SPONSOREN
SPONSOREN & PARTNER