Der Fingerabdrucksensor Ihres Laptops ist praktisch, aber ist er auch sicher? Forscher von Blackwing Intelligence haben das Windows Hello-Fingerabdrucksystem auf Laptops von Dell, Lenovo und Microsoft umgangen. Hersteller sollten dieses Problem lösen, indem sie strenge und konsistente Sicherheitspraktiken befolgen, so Blackwing Intelligence.
Microsoft hat Blackwing Intelligence gebeten, das Fingerabdrucksystem von Windows Hello vor der BlueHat-Konferenz im Oktober 2023 zu untersuchen. Blackwing Intelligence hatte nur drei Monate Zeit, um seine Untersuchungen durchzuführen, und konzentrierte sich daher auf drei Laptops: das Dell Inspiron 15, das Lenovo ThinkPad T14 und das Microsoft Surface Pro X. Diese Laptops wurden ausgewählt, weil sie die drei beliebtesten eingebetteten Fingerabdrucksensoren (von Goodix, Synaptics bzw. ELAN) enthalten.
Im Windows Hello-Fingerabdrucksystem jedes Laptops wurden einzigartige Schwachstellen entdeckt. Das Blackwing Intelligence-Team nutzte ein benutzerdefiniertes USB-Gerät, um diese Schwachstellen auszunutzen und die Anmeldung per Fingerabdruck zu umgehen. Technisch gesehen sollte Microsofts Secure Device Connection Protocol (SDCP) Laptops vor einem solchen Angriff schützen. SDHP wird jedoch vom Fingerabdruckleser im Thinkpad T13 oder Surface Pro X nicht verwendet, und Blackwing Intelligence konnte das SDCP-System des Inspiron 15 umgehen, indem die Fingerabdruckdatenbank des Laptops auf Linux umgeleitet wurde.
Seltsamerweise erwies sich das Surface Pro X als das leichteste Opfer. Dieses 2-in-1-Notebook hätte eine einzigartige Herausforderung darstellen sollen. Schließlich wird es von Microsoft hergestellt und läuft mit dem Nischen-Betriebssystem Windows on ARM. Aber wie Blackwing Intelligence erklärt, kann jedes USB-Gerät behaupten, der Fingerabdrucksensor des Surface Pro X zu sein (indem es seine VID/PID fälscht). Die einzige echte Hürde, die das Surface Pro X darstellt, ist eine „Wie viele Fingerabdrücke“-Prüfung, bei der die abnehmbare Tastatur abgefragt wird, wie viele Fingerabdrücke sie registriert hat (vermutlich soll dies verhindern, dass zwei Surface Pro X-Benutzer ihre Tastaturen verwechseln).
Die gute Nachricht ist, dass diese Man-in-the-Middle-Angriffe (MitM) physischen Zugriff auf den Laptop eines Opfers erfordern. Und wenn Sie wichtig genug sind, um das Ziel eines solchen Angriffs zu sein, können Sie sich schützen, indem Sie die Fingerabdruck-Anmeldung Ihres Laptops deaktivieren. Diese Untersuchung wirft jedoch ein unangenehmes Licht auf: Hersteller von Windows-Laptops, darunter Microsoft, befolgen keine einheitlichen Sicherheitspraktiken.
Blackwing Intelligence fordert alle Hersteller von Laptops und Fingerabdrucksensoren auf, SDCP zu implementieren und in Zukunft externe Sicherheitsprüfer zu beauftragen. Weitere Informationen finden Sie im Blogbeitrag „A Touch of Pwn“ von Blackwing Intelligence oder in der BlueHat-Präsentation des Unternehmens.
Quelle: Blackwing Intelligence via The Verge
Leave a Reply
You must be logged in to post a comment.