Experten der Tübinger Sicherheitsfirma Syss GmbH ist es mit einem Papierausdruck gelungen, die biometrische Authentifizierung von Windows Hello zu umgehen. Mit einem Spoofing-Angriff konnten Matthias Deeg und Philipp Buchegger bei mehreren Geräten die Gesichtserkennung austricksen, wie sie mit einem Demo-Video zeigen. Der Angriff war bei verschiedenen Versionen von Windows 10 erfolgreich.
Erforderlich war ein Papierausdruck aus dem Laserdrucker, der sich durch bestimmte Eigenschaften auszeichnete. Grundlage war das Bild einer zur Anmeldung am jeweiligen System berechtigten Person. Das Gesicht musste frontal und außerdem in Nahinfrarotbereich aufgenommen werden, da auch Windows Hello Face Identification mit einer Nahinfrarotkamera arbeitet. Abschließend waren Helligkeit und Kontrast des Bildes mit einfachen Mitteln zu ändern.
Besonders einfach war die Gesichtserkennung in der Standardkonfiguration zu umgehen, wie sich bei Versuchen mit Microsofts Surface Pro 4 und dem Dell-Notebook Latitude E7470 mit einer zu Windows Hello kompatiblen USB-Kamera zeigte. Mehr Widerstand bot Windows Hello mit der Funktion „Enhanced Anti-Spoofing“ aktiviert war. Sie kann aber nur mit bestimmter Hardware wie Surface Pro 4 genutzt werden und setzt einige Kenntnisse voraus, um sie überhaupt zu aktivieren.
„Nach unseren bisher gewonnenen Erkenntnissen sind die neueren Windows 10-Versionen (Branches) 1703 und 1709 mit Nutzung der ‚Enhanced Anti-Spoofing‘-Funktionalität und entsprechender Hardware nicht anfällig für den hier beschriebenen Spoofing-Angriff mit einem Papierausdruck“, berichten die Mitarbeiter von Syss in ihrem Pentest Blog. Sie empfehlen daher das Update auf das Fall Creators Update, auch bekannt als Windows 10 Version 1709, sowie die Aktivierung von „Enhanced Anti-Spoofing“.
Erforderlich ist dann aber auch die erneute Konfiguration von Windows Hello Face Authentication. Ohne diese lässt sich Windows Hello weiterhin austricksen, wenn das Update von einer anfälligen Windows-10-Version wie 1511 oder 1607 aus auf eine aktuellere Version erfolgte, warnen die Sicherheitsforscher.
Weitere Hinweise zur „Biometricks“-Schwachstelle von Windows Hello sind einem Security Advisory zu entnehmen. Zusätzliche Einzelheiten des Forschungsprojekts, etwa zu Variationen des Spoofing-Angriffs, sollen im Frühjahr 2018 veröffentlicht werden.
Mit DeX steht für die Galaxy-Smartphones S8, S8+ und Note 8 eine Dockingstation zur Verfügung, mit der man die Samsung-Smartphones als Basis für einen Desktop-Arbeitsplatz nutzen kann. Wer in diesem Szenario auf einen sicheren Speicherplatz angewiesen ist, kann zur Portable SSD T5 greifen, die es mit Kapazitäten von bis zu 2 Terabyte gibt.
Ab Werk blockiert Chrome Cookies von Dritten nun frühestens ab Anfang 2025. Unter anderem gibt…
Die Vorfreude steigt, denn BAUMLINK wird als Partner und Aussteller bei der Tech Show 2024…
Nutzung einer unternehmenseigenen GPT-Umgebung für sicheren und datenschutzkonformen Zugriff.
Der Umsatz steigt um 15 Prozent, der Nettogewinn um 57 Prozent. Im nachbörslichen Handel kassiert…
Aus 61,9 Milliarden Dollar generiert das Unternehmen einen Nettoprofit von 21,9 Milliarden Dollar. Das größte…
Mehr Digitalisierung wird von den Unternehmen gefordert. Für KMU ist die Umsetzung jedoch nicht trivial,…
