Quelle: youtube (Englisch)
Sicherheitsforscher haben die Windows Hello-Fingerabdruckauthentifizierung auf Dell Inspiron-, Lenovo ThinkPad- und Microsoft Surface Pro X-Laptops durch Angriffe umgangen, die Sicherheitslücken in den integrierten Fingerabdrucksensoren ausnutzen.
Die Sicherheitsforscher von Blackwing Intelligence entdeckten die Schwachstellen im Rahmen einer von Microsofts Offensive Research and Security Engineering (MORSE) gesponserten Untersuchung zur Bewertung der Sicherheit der drei wichtigsten eingebetteten Fingerabdrucksensoren, die für die Windows Hello-Fingerabdruckauthentifizierung verwendet werden.
Jesse D'Aguanno und Timo Teräs von Blackwing untersuchten die eingebetteten Fingerabdrucksensoren der Hersteller ELAN, Synaptics und Goodix auf dem Microsoft Surface Pro X, Lenovo ThinkPad T14 und Dell Inspiron 15.
Bei allen getesteten Fingerabdrucksensoren handelte es sich um Match-on-Chip (MoC)-Sensoren mit eigenem Mikroprozessor und Speicher, so dass der Fingerabdruckabgleich sicher innerhalb des Chips durchgeführt werden konnte.
MoC-Sensoren verhindern zwar, dass gespeicherte Fingerabdruckdaten zum Abgleich an den Host übertragen werden, aber sie hindern einen böswilligen Sensor nicht daran, die Kommunikation eines legitimen Sensors mit dem Host zu imitieren. Dies könnte fälschlicherweise eine erfolgreiche Benutzerauthentifizierung anzeigen oder den zuvor beobachteten Datenverkehr zwischen Host und Sensor wiedergeben.
Um Angriffen entgegenzuwirken, die diese Schwachstellen ausnutzen, entwickelte Microsoft das Secure Device Connection Protocol (SDCP), das sicherstellen sollte, dass das Fingerabdruckgerät vertrauenswürdig und intakt ist und dass die Eingabe zwischen dem Fingerabdruckgerät und dem Host auf den Zielgeräten geschützt ist.
Trotzdem gelang es den Sicherheitsforschern, die Windows Hello-Authentifizierung mit Hilfe von Man-in-the-Middle-Angriffen (MiTM) auf allen drei Laptops zu umgehen, indem sie ein spezielles Linux-betriebenes Raspberry Pi 4-Gerät nutzten.
Microsoft sagte vor drei Jahren, dass die Zahl der Nutzer, die sich mit Windows Hello statt mit einem Passwort bei ihren Windows 10-Geräten anmelden, von 69,4 Prozent im Jahr 2019 auf 84,7 Prozent gestiegen ist.