Die Windows Hello-Fingerabdruckauthentifizierung von Microsoft wurde auf Laptops von Dell, Lenovo und sogar Microsoft umgangen. Sicherheitsforscher von Blackwing Intelligence haben mehrere Schwachstellen in den drei wichtigsten Fingerabdrucksensoren entdeckt, die in Laptops integriert sind und von Unternehmen häufig verwendet werden, um Laptops mit der Windows Hello-Fingerabdruckauthentifizierung zu sichern.
Microsofts Offensive Research and Security Engineering (MORSE) beauftragte Blackwing Intelligence, die Sicherheit von Fingerabdrucksensoren zu bewerten, und die Forscher stellten ihre Ergebnisse in einer Präsentation auf der BlueHat-Konferenz von Microsoft im Oktober vor. Das Team identifizierte beliebte Fingerabdrucksensoren von Goodix, Synaptics und ELAN als Ziele für seine Forschung. In einem neu veröffentlichten Blogbeitrag wird der detaillierte Prozess des Baus eines USB-Geräts beschrieben, das einen Man-in-the-Middle (MitM) ausführen kann ) Attacke. Ein solcher Angriff könnte den Zugriff auf einen gestohlenen Laptop oder sogar einen „bösen Dienstmädchen“-Angriff auf ein unbeaufsichtigtes Gerät ermöglichen.
Ein Dell Inspiron 15, ein Lenovo ThinkPad T14 und ein Microsoft Surface Pro Forscher von Blackwing Intelligence haben sowohl Software als auch Hardware zurückentwickelt und kryptografische Implementierungsfehler in einem benutzerdefinierten TLS auf dem Synaptics-Sensor entdeckt. Der komplizierte Prozess zur Umgehung von Windows Hello umfasste auch die Dekodierung und Neuimplementierung proprietärer Protokolle.
Dank des Vorstoßes von Microsoft zu Windows Hello und einer passwortlosen Zukunft werden Fingerabdrucksensoren mittlerweile häufig von Windows-Laptop-Benutzern verwendet. Microsoft gab vor drei Jahren bekannt, dass fast 85 Prozent der Verbraucher Windows Hello zur Anmeldung bei Windows 10-Geräten verwendeten, anstatt ein Kennwort zu verwenden (Microsoft zählt jedoch eine einfache PIN als Verwendung von Windows Hello).
Dies ist nicht das erste Mal, dass die auf Biometrie basierende Authentifizierung von Windows Hello besiegt wurde. Microsoft war im Jahr 2021 gezwungen, eine Schwachstelle bei der Umgehung der Windows Hello-Authentifizierung zu beheben, nachdem ein Proof-of-Concept durchgeführt wurde, bei dem ein Infrarotbild eines Opfers aufgenommen wurde, um die Gesichtserkennungsfunktion von Windows Hello zu fälschen.
Es ist jedoch nicht klar, ob Microsoft in der Lage sein wird, diese neuesten Mängel allein zu beheben. „Microsoft hat bei der Entwicklung des Secure Device Connection Protocol (SDCP) gute Arbeit geleistet, um einen sicheren Kanal zwischen dem Host und biometrischen Geräten bereitzustellen, aber leider scheinen die Gerätehersteller einige der Ziele falsch zu verstehen“, schreiben Jesse D’Aguanno und Timo Teräs von Blackwing Intelligence Forscher in ihrem ausführlichen Bericht über die Mängel. „Darüber hinaus deckt SDCP nur einen sehr begrenzten Bereich des Betriebs eines typischen Geräts ab, während die meisten Geräte eine beträchtliche Angriffsfläche aufweisen, die von SDCP überhaupt nicht abgedeckt wird.“
Die Forscher stellten fest, dass der SDCP-Schutz von Microsoft auf zwei der drei Zielgeräte nicht aktiviert war. Blackwing Intelligence empfiehlt OEMs nun, sicherzustellen, dass SDCP aktiviert ist und dass die Implementierung des Fingerabdrucksensors von einem qualifizierten Experten geprüft wird. Blackwing Intelligence untersucht außerdem Speicherbeschädigungsangriffe auf die Sensor-Firmware und sogar die Sicherheit von Fingerabdrucksensoren auf Linux-, Android- und Apple-Geräten.