Forscher haben die Windows Hello-Fingerabdruckauthentifizierung von Microsoft erfolgreich umgangen

Eine von Microsoft beauftragte Sicherheitsgruppe, die Hardware und Software zur Authentifizierung per Fingerabdruck Windows Hello zu testen, hat bekannt gegeben, dass sie diese Technologie auf einer Reihe von Laptops, darunter einem Microsoft Surface-Produkt, umgehen konnte.

Die Blackwell Intelligence-Gruppe veröffentlichte ihre Ergebnisse im Oktober im Rahmen der BlueHat-Sicherheitskonferenz von Microsoft, veröffentlichte ihre Ergebnisse jedoch erst diese Woche auf ihrer eigenen Website (über The Verge<). a i=2>). In dem Blogbeitrag mit dem eingängigen Titel „A Touch of Pwn“ heißt es, dass die Gruppe die Fingerabdrucksensoren im Dell Inspiron 15 und im Lenovo ThinkPad verwendet habe T14-Laptops sowie das Microsoft Surface Pro Type Cover mit Fingerabdruck-ID für die Tablets Surface Pro 8 und X. Die spezifischen Fingerabdrucksensoren wurden von Goodix, Synaptics und ELAN hergestellt.

Alle von Windows Hello unterstützten Fingerabdrucksensoren, die getestet wurden, verwendeten „Match-on-Chip“-Hardware, was bedeutet, dass die Authentifizierung auf dem Sensor selbst durchgeführt wird, der über einen eigenen Mikroprozessor und Speicher verfügt. Blackwell erklärte:

Eine Datenbank mit „Fingerabdruckvorlagen“ (die vom Fingerabdrucksensor erfassten biometrischen Daten) wird auf dem Chip gespeichert und die Registrierung und der Abgleich erfolgen direkt im Chip. Da Fingerabdruckvorlagen niemals den Chip verlassen, entfällt die Sorge um die Privatsphäre, dass biometrisches Material auf dem Host gespeichert und möglicherweise herausgefiltert wird – selbst wenn der Host kompromittiert ist. Dieser Ansatz verhindert auch Angriffe, bei denen einfach Bilder gültiger Fingerabdrücke zum Abgleich an den Host gesendet werden.

Blackwell nutzte Reverse Engineering, um Fehler in den Fingerabdrucksensoren zu finden, und entwickelte dann ein eigenes USB-Gerät, das einen Man-in-the-Middle-Angriff (MitM) durchführen konnte. Mit diesem Gerät konnten sie die Fingerabdruck-Authentifizierungshardware in diesen Geräten umgehen.

Der Blog wies auch darauf hin, dass Microsoft zwar das Secure Device Connection Protocol (SDCP) verwendet, „um einen sicheren Kanal zwischen dem Host und biometrischen Geräten bereitzustellen“, aber bei zwei der drei getesteten Fingerabdrucksensoren SDCP nicht einmal aktiviert war. Blackwell empfahl allen Herstellern von Fingerabdrucksensoren, nicht nur SDCP auf ihren Produkten zu aktivieren, sondern auch ein Drittunternehmen zu beauftragen, um sicherzustellen, dass es funktioniert.

Es sollte darauf hingewiesen werden, dass die Umgehung dieser Fingerabdruck-Hardwareprodukte von Blackwell „ungefähr drei Monate“ und viel Aufwand gekostet hat, aber der Punkt ist, dass sie erfolgreich waren. Es bleibt abzuwarten, ob Microsoft oder die Hersteller von Fingerabdrucksensoren diese Forschung nutzen können, um diese Probleme zu beheben.