Sicherheitsforscher haben Windows Hello-Anmeldung per Fingerabdruck umgangen

Der Fingerabdrucksensor Ihres Laptops ist praktisch, aber ist er auch sicher? Forscher von Blackwing Intelligence haben das Windows Hello-Fingerabdrucksystem auf Laptops von Dell, Lenovo und Microsoft umgangen. Laut Blackwing Intelligence sollten die Hersteller dieses Problem durch strenge und konsequente Sicherheitspraktiken angehen.

Microsoft beauftragte Blackwing Intelligence, das Fingerabdrucksystem von Windows Hello im Vorfeld der BlueHat-Konferenz im Oktober 2023 zu untersuchen. Blackwing Intelligence hatte nur drei Monate Zeit für die Untersuchung und konzentrierte sich daher auf drei Laptops - Dell Inspiron 15, Lenovo ThinkPad T14 und Microsoft Surface Pro X. Diese Laptops wurden ausgewählt, weil sie die drei gängigsten integrierten Fingerabdrucksensoren (von Goodix, Synaptics bzw. ELAN) enthalten.

In jedem Laptop wurden eindeutige Schwachstellen im Windows Hello-Fingerabdrucksystem entdeckt. Das Blackwing Intelligence-Team nutzte ein spezielles USB-Gerät, um diese Schwachstellen auszunutzen und die Anmeldung per Fingerabdruck zu umgehen. Technisch gesehen sollte das Secure Device Connection Protocol (SDCP) von Microsoft Laptops vor einem solchen Angriff schützen. Aber SDCP wird vom Fingerabdruckleser des Thinkpad T13 oder des Surface Pro X nicht verwendet, und Blackwing Intelligence gelang es, das SDCP-System des Inspiron 15 zu umgehen, indem die Fingerabdruckdatenbank des Laptops auf Linux umgeleitet wurde.

Merkwürdigerweise erwies sich das Surface Pro X als das einfachste Opfer. Dieses 2-in-1-Notebook hätte eigentlich eine besondere Herausforderung darstellen müssen. Schließlich wird es von Microsoft hergestellt und läuft mit dem Nischenbetriebssystem Windows on ARM. Aber wie Blackwing Intelligence erklärt, kann jedes USB-Gerät behaupten, der Fingerabdrucksensor des Surface Pro X zu sein (indem es seine VID/PID fälscht). Die einzige wirkliche Hürde, die das Surface Pro X darstellt, ist eine Überprüfung der Anzahl der Fingerabdrücke, bei der die abnehmbare Tastatur gefragt wird, wie viele Fingerabdrücke sie registriert hat (vermutlich, um zu verhindern, dass zwei Surface Pro X-Nutzer ihre Tastaturen verwechseln).

Die gute Nachricht ist, dass diese Man-in-the-Middle (MitM)-Angriffe physischen Zugriff auf den Laptop des Opfers erfordern. Und wenn Sie wichtig genug sind, um das Ziel eines solchen Angriffs zu sein, können Sie sich schützen, indem Sie die Fingerabdruck-Anmeldung Ihres Laptops deaktivieren. Diese Untersuchung macht jedoch eine unangenehme Tatsache deutlich: Die Hersteller von Windows-Laptops, einschließlich Microsoft, wenden keine einheitlichen Sicherheitsverfahren an.

Blackwing Intelligence fordert alle Hersteller von Laptops und Fingerabdrucksensoren auf, SDCP zu implementieren und in Zukunft externe Sicherheitsprüfer zu beauftragen. Weitere Informationen finden Sie im Blogbeitrag"A Touch of Pwn" von Blackwing Intelligence oder in der BlueHat-Präsentation des Unternehmens.

Quelle: Blackwing Intelligence über The Verge