bluebit

Sicherheit nur mit Enhanced Anti-Spoofing

Deutsche Sicherheitsfirma überlistet Windows Hello mit Papierausdruck

von Robert Klatt •

Sicherheitsexperten der Syss GmbH haben die biometrische Authentifizierung von Windows Hello überlistet. Sie brauchten dafür nur einen simplen Papierausdruck.


0 Kommentare

Die Sicherheitsexperten Matthias Deeg und Philipp Buchegger zeigen in einem Demovideo, wie sie die Gesichtserkennung bei verschiedenen Geräten mit einem Papierausdruck überwinden. Die bei der Tübinger Sicherheitsfirma Syss GmbH angestellten Experten, konnten den Angriff bei verschiedenen Windows 10 Versionen durchführen.

Sie benötigten dafür nur einen Papierausdruck aus einem Laserdrucker, der bestimmte Eigenschaften ausweisen muss. Als Grundlage diente ein Bild einer Person, die für die biometrische Authentifizierung von Windows Helle am jeweiligen Gerät berechtigt ist. Da Windows Hello eine Nahinfrarotkamera einsetzt, musste auch das Bild im Nahinfrarotspektrum aufgenommen werden. Außerdem muss das Gesicht frontal deutlich erkennbar sein. Die Helligkeit und der Kontrast des fertigen Bildes konnten dann von den Sicherheitsexperten einfach manipuliert werden.

Am einfachsten konnte die Gesichtserkennung in der Microsoft Standardkonfiguration umgangen werden. Dies gelang in den Versuchen der Sicherheitsexperten beim Microsoft Surface Pro 4 und beim Dell-Notebook Latitude E7470, die jeweils zu Windows Hello kompatiblen USB-Kamera verbunden waren. Die Sicherheitsfunktion „Enhanced Anti-Spoofing“ erschwert den Angriff deutlich. Sie ist jedoch nicht auf allen Geräten verfügbar und die Aktivierung ist auch für erfahrene Anwender nicht einfach. Das getestete Surface Pro 4 unterstützt dieses Feature.

In ihrem Pentest Blog erklärten die Mitarbeiter der Syss GmbH: „Nach unseren bisher gewonnenen Erkenntnissen sind die neueren Windows 10-Versionen (Branches) 1703 und 1709 mit Nutzung der ‚Enhanced Anti-Spoofing‘-Funktionalität und entsprechender Hardware nicht anfällig für den hier beschriebenen Spoofing-Angriff mit einem Papierausdruck.“ Sie empfehlen betroffenen Firmen und Anwendern das Fall Creators Update, das unter dem Namen Windows 10 Version 1709 bekannt ist. Außerdem sollte „Enhanced Anti-Spoofing“ aktiviert werden.

Nachdem das Update durchgeführt und das Sicherheitsfeature aktiviert wurde, muss Windows Hello erneut konfiguriert werden. Die Sicherheitsforscher warnen davor, dass Windows Hello weiterhin keinen wirksamen Schutz bietet wenn das Update von einer anfälligen Windows Version auf die aktuelle Version durchgeführt wird und keine Neukonfiguration stattgefunden hat. Zu den angreifbaren Windows 10 Versionen gehören 1511 und 1607.

Ein Security Advisory der Syss GmbH gibt weitere Hinweise zur Schwachstelle in der Biometrie. Im Februar 2018 sollen detaillierte Informationen zum Forschungsprojekt, die unteranderem Variationen des Spoofing-Angriffs erklären, der Öffentlichkeit zur Verfügung gestellt werden.

0 Kommentare

Kommentar verfassen