Experten der Tübinger Sicherheitsfirma Syss GmbH ist es mit einem Papierausdruck gelungen, die biometrische Authentifizierung von Windows Hello zu umgehen. Mit einem Spoofing-Angriff konnten Matthias Deeg und Philipp Buchegger bei mehreren Geräten die Gesichtserkennung austricksen, wie sie mit einem Demo-Video zeigen. Der Angriff war bei verschiedenen Versionen von Windows 10 erfolgreich.
Erforderlich war ein Papierausdruck aus dem Laserdrucker, der sich durch bestimmte Eigenschaften auszeichnete. Grundlage war das Bild einer zur Anmeldung am jeweiligen System berechtigten Person. Das Gesicht musste frontal und außerdem in Nahinfrarotbereich aufgenommen werden, da auch Windows Hello Face Identification mit einer Nahinfrarotkamera arbeitet. Abschließend waren Helligkeit und Kontrast des Bildes mit einfachen Mitteln zu ändern.
Besonders einfach war die Gesichtserkennung in der Standardkonfiguration zu umgehen, wie sich bei Versuchen mit Microsofts Surface Pro 4 und dem Dell-Notebook Latitude E7470 mit einer zu Windows Hello kompatiblen USB-Kamera zeigte. Mehr Widerstand bot Windows Hello mit der Funktion „Enhanced Anti-Spoofing“ aktiviert war. Sie kann aber nur mit bestimmter Hardware wie Surface Pro 4 genutzt werden und setzt einige Kenntnisse voraus, um sie überhaupt zu aktivieren.
„Nach unseren bisher gewonnenen Erkenntnissen sind die neueren Windows 10-Versionen (Branches) 1703 und 1709 mit Nutzung der ‚Enhanced Anti-Spoofing‘-Funktionalität und entsprechender Hardware nicht anfällig für den hier beschriebenen Spoofing-Angriff mit einem Papierausdruck“, berichten die Mitarbeiter von Syss in ihrem Pentest Blog. Sie empfehlen daher das Update auf das Fall Creators Update, auch bekannt als Windows 10 Version 1709, sowie die Aktivierung von „Enhanced Anti-Spoofing“.
Erforderlich ist dann aber auch die erneute Konfiguration von Windows Hello Face Authentication. Ohne diese lässt sich Windows Hello weiterhin austricksen, wenn das Update von einer anfälligen Windows-10-Version wie 1511 oder 1607 aus auf eine aktuellere Version erfolgte, warnen die Sicherheitsforscher.
Weitere Hinweise zur „Biometricks“-Schwachstelle von Windows Hello sind einem Security Advisory zu entnehmen. Zusätzliche Einzelheiten des Forschungsprojekts, etwa zu Variationen des Spoofing-Angriffs, sollen im Frühjahr 2018 veröffentlicht werden.
Samsung DeX mit Galaxy S8 und Portable SSD T5 im Praxistest
Mit DeX steht für die Galaxy-Smartphones S8, S8+ und Note 8 eine Dockingstation zur Verfügung, mit der man die Samsung-Smartphones als Basis für einen Desktop-Arbeitsplatz nutzen kann. Wer in diesem Szenario auf einen sicheren Speicherplatz angewiesen ist, kann zur Portable SSD T5 greifen, die es mit Kapazitäten von bis zu 2 Terabyte gibt.
Neueste Kommentare
Noch keine Kommentare zu Windows 10 Hello: Sicherheitsspezialisten tricksen Gesichtserkennung aus
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.