Der Sicherheitsanbieter Blackwing Intelligence hat im Auftrag von Microsoft die Sicherheit von in Laptops integrierten Fingerabdruckscannern untersucht, die für die Authentifizierung per Windows Hello genutzt werden. Dabei wurden mehrere Schwachstellen entdeckt, mit denen es möglich war, die Windows-Hello-Anmeldung vollständig zu umgehen.
Für die Untersuchung mussten neben einem Microsoft Surface Pro Type Cover mit Fingerabdruckscanner (für ein Surface Pro 8/x) auch ein Dell Inspiron 15 sowie eine Lenovo ThinkPad T14 herhalten. Alle drei Geräte verfügen über sogenannte „Match on Chip“-Sensoren, bei denen die biometrischen Daten sicher im Chip gespeichert und auch dort abgeglichen werden. Das soll einen Schutz der biometrischen Daten selbst auf kompromittierten Geräten gewährleisten. Hergestellt wurden die Sensoren von ELAN, Synaptics und Goodix.
Linux als Einfallstor
Diese Technik ist allerdings nicht unfehlbar. Unter anderem könnte ein schädlicher Sensor die Kommunikation mit dem Host-Geräte imitieren oder den Datenverkehr zwischen dem Sensor und dem Host aufzeichnen und für eine spätere Anmeldung wiedergeben. Diese Angriffe umgeht Microsoft mit dem Secure Device Connection Protocol (SDCP), dass die Kommunikation zwischen Sensor und Host-Gerät schützt.
Allerdings ist dieses Protokoll nicht in Linux implementiert, wie die Forscher herausfanden. Das erlaubte es ihnen, unter anderem per Reverse-Engineering die Verschlüsselung zu knacken und eine gültige ID zu ermitteln und den Fingerabdruck einer unbefugten Person mit einer ID einer legitimen Windows-Benutzers zu registrieren. Zudem stellten sie fest, dass der Synaptics-Sensor im Lenvo-Gerät einen eigenen TLS-Stack statt SDCP für die Absicherung der USB-Kommunikation zwischen Fingerabdruckscanner und Gerät nutzt.
Fehlerhafte Implementierung erlaubt Spoofing
Beim ELAN-Sensor des Surface-Geräts fehlte der Analyse zufolge sogar der Schutz durch SDCP. Stattdessen erfolgte die USB-Kommunikation zwischen Sensor und Gerät im Klartext. Die Forscher mussten also lediglich die Verbindung zum integrierten Sensor kappen, um per Spoofing mit einem falschen Fingerabdrucksensor eine gültige Login-Antwort an das Gerät zu senden.
„Microsoft hat bei der Entwicklung von SDCP gute Arbeit geleistet, um einen sicheren Kanal zwischen dem Host und den biometrischen Geräten zu schaffen, aber leider scheinen die Gerätehersteller einige der Ziele falsch zu verstehen“, so die Forscher. „Darüber hinaus deckt SDCP nur einen sehr engen Bereich des Betriebs eines typischen Geräts ab, während die meisten Geräte eine beträchtliche Angriffsfläche bieten, die von SDCP überhaupt nicht abgedeckt wird.“
Die Forscher gehen davon aus, dass auch die Firmware der untersuchten Sensoren angreifbar ist. Diese sei zwar bei allen drei Herstellern verschlüsselt, die Code-Qualität erschien den Forscher jedoch als „allgemein schlecht“. Sie gehen von einer hohen Wahrscheinlichkeit aus, dass alle drei Sensoren anfällig für Speicherfehler sind.
Neueste Kommentare
Noch keine Kommentare zu Windows Hello: Sicherheitsforscher umgehen Authentifizierung der Fingerabdruck
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.