[English]Microsoft proagiert in seinem Betriebssystem ja Windows Hello zur passwortlosen Anmeldung. Das soll sicherer als ein Passwort sein, da dieses nicht gestohlen werden kann. Sicherheitsforscher wurden von Microsofts Offensive Research and Security Engineering (MORSE) gebeten, die Sicherheit der Fingerabdrucksensoren und damit von Windows Hello zu überprüfen. Während der Evaluierung stießen die Forscher gleich auf mehrere Schwachstellen und waren in der Lage, die Fingerabdrucksensoren in Dell Inspiron 15, Lenovo ThinkPad T14 und Microsoft Surface Pro X Laptops auszutricksen.
Anzeige
Das Ganze wurde bereits vor einigen Tagen bekannt, neben Hinweisen von Lesern hier im Blog (danke) habe ich den Hinweis auch auf BlueSky in nachfolgendem Post gesehen. Das Ganze wurde von den Sicherheitsforschern von Blackwing Intelligence hier dokumentiert; The Hacker News hat es hier zusammen gefasst.
Fingerabdrucksensoren der meisten Anbieter, die in Geräten verbaut sind, verwenden einen Sensortyp, der als "Match on Chip" (MoC) bezeichnet wird. MoC-Sensoren verfügen über einen Mikroprozessor und einen im Chip integrierten Speicher. Der gesamte Abgleich der gespeicherten (eingerichteten) und aktuell ermittelten Fingerabdrücke sowie andere biometrische Verwaltungsfunktionen werden direkt von diesem Schaltkreis im Sensor vorgenommen. Die Forscher schreiben, dass der Abgleich von Fingerabdrücken sicher im Chip durchgeführt werden kann.
Eine Datenbank mit "Fingerabdruckvorlagen" (die vom Fingerabdrucksensor erfassten biometrischen Daten) wird auf dem Chip gespeichert, und die Registrierung und der Abgleich werden direkt auf dem Chip durchgeführt. Dadurch verhindert der MoC zwar, dass Angreifer gespeicherte Fingerabdruckdaten zum Abgleich an den Host (hier Windows Hello) übertragen werden. Dieser Ansatz verhindert auch Angriffe, bei denen einfach Bilder von gültigen Fingerabdrücken zum Abgleich an den Host gesendet werden.
Anzeige
Die Sicherheitsforscher Jesse D'Aguanno und Timo Teräs sind nun aber drauf gestoßen, dass der Chip aktuell aber nicht verhindern kann, dass ein "bösartiger" bzw. manipulierter Sensor die Kommunikation eines legitimen Sensors mit dem Host manipuliert und fälschlicherweise behauptet, ein autorisierter Benutzer habe sich erfolgreich authentifiziert.
Microsoft hat zwar das Secure Device Connection Protocol (SDCP) entwickelt, welches darauf abzielt, einige dieser Probleme während der Kommunikation durch die Schaffung eines sicheren End-to-End-Kanals zu verhindern, haben die Forscher eine neuartige Methode aufgedeckt, mit der diese Schutzmaßnahmen umgangen und AitM-Angriffe (Adversary-in-the-Middle) durchgeführt werden können.
So wurde festgestellt, dass der ELAN-Sensor anfällig für eine Kombination aus Angriffen, die die Forscher als Sensor-Spoofing bezeichnen, ist. Diese Angriffsmethode ist auf die fehlende SDCP-Unterstützung und die Klartextübertragung von Sicherheitskennungen (SIDs) beim ELAN-Sensor zurückzuführen. Dort kann sich jedes USB-Gerät als Fingerabdrucksensor ausgeben und behaupten, dass sich ein autorisierter Benutzer anmeldet.
Beim Synaptics-Sensor war SDCP nicht nur standardmäßig deaktiviert, sondern die Implementierung verließ sich auch auf einen fehlerhaften benutzerdefinierten Transport Layer Security (TLS)-Stack, um die USB-Kommunikation zwischen dem Host-Treiber und dem Sensor zu sichern. Dort lässt sich eingreifen, um die biometrische Authentifizierung zu umgehen.
Die Ausnutzung der Schwachstellen beim Goodix-Sensors basiert auf der Tatsache, dass SDCP nicht unterstützt wird (dadurch funktioniert der Angriff unter Linux und Windows). Bei Windows ist es erforderlich, dass Windows Hello eingerichtet wurde und dass der Rechner für einen Angriff am Gerät gebootet wird. Hier könnte ein BIOS-Passwort eine Sperre bilden, um eine unbefugte Nutzung zu verhindern. Das konterkariert aber die biometrische Anmeldung per Fingerabdruck. Ein Video von der Präsentation auf der BlueHat-Konferenz im Oktober 2023 findet sich auf YouTube. Details zu den Angriffen lassen sich im verlinkten Dokument der Forscher nachlesen.
Anzeige
"werden direkt von diesem Schaltkreis im Sensor vorgenommen. Die Forscher schreiben, dass der Abgleich von Fingerabdrücken sicher im Chip durchgeführt werden kann."
Erinnert mich irgendwie an dieses "Hardware-Security" Problem
Microsoft setzt bei self-encrypting drives (SEDs) auf Bitlocker-Verschlüsselung
Es gab mal vor vielen Jahren von Microsoft einen Fingerabdrucksensor, der per USB angeschlossen wird.
Das Ding ließ sich damals rel. leicht austricksen.
Z.B. mit einer Folie, in der das Muster des echten Fingerabdrucks geprägt ist.
Insofern ist das von Microsoft propagierte "kann nicht gestohlen werden" schlicht falsch.
Und auch die Gesichtserkennung kann oft mit einem Foto ausgetrickst werden.
Nicht umsonst werden in Hochsicherheitsumgebungen mehrere Sicherheitsmerkmale zum Zugang benötigt.
Z.B. die Kombination aus Chipkarte, Handabdrucksensor und Irisscan.
Und oft ist da auch ein sog. Lebend-Sensor mit eingebaut, so das man mit z.B. einer Folie nicht weiterkommt.
D.H., diese Sensoren prüfen nicht nur das eigentliche Merkmal, sondern auch, ob z.B. ein Puls vorhanden ist, die Hautleitfähigkeit im normalen Bereich liegt, etc.
So etwas machen die Sensoren, die man in Laptops o.Ä. findet, i.d.R. nicht.
Und damit sind die nicht sicherer als ein normales Passwort.
Bzw. das Passwort kann man nicht stehlen, wenn man es nirgendwo notiert.
Als nächste "Lösung" kommt dann implantierter Chip? Würde mich nicht wundern.
Das "kann nicht gestohlen werden" ist sowieso aufgrund der praktischen Umsetzung an vielen Stellen ein Mythos, wie ich gerade wieder am Frankfurter Flughafen erfahren durfte: Dort wurde beim Einsteigen meine Bordkarte (nicht mein Pass!) mit meinem Gesicht abgeglichen. Das heisst, meine biometrischen Daten wurden offensichtlich in irgendeiner Datenbank abgelegt. Und wenn sie in irgendeiner Datenbank liegen, können sie auch gestohlen werden.
Oder: Es kann mir doch niemand erzählen, dass, wenn ich bei der Einreise in ein anderes Land meine Fingerchen, mein Gesicht oder meine Retina scannen lassen muss, die Behörden dieses Landes diese Daten nicht, komplettiert mit den Angaben aus meinem Pass, bei sich abspeichern. Und wenn sie irgendwo abgespeichert sind…
Man wird es trotzdem weiter erzählen, sonst kämen die Leute drauf, dass es mit all der persönlichen Freiheit, Datenschutz usw. gar nicht anders ist als z.B. in China?
Hoppla. Wie wäre es vor dem Absondern solcher Platitüden mal mit ein bisschen Herumlesen, was der chinesische Staat mittlerweile alles von seinen Untertanen speichert und wie es um deren „persönliche Freiheit" steht: derartige Begriffe kann man in China nicht mal googeln!
Wissen statt Argwöhnen hilft sehr gut gegen dumm Daherreden.
Jeder auch noch so "freiheitliche" Staat speichert alles bzw. sichert sich Zugriff auf alles? Beispiel Snowden oder Cloud Act oder aktuell aufgeflogen https://www.heise.de/news/US-Polizei-hatte-Zugriff-auf-Telefondaten-Millionen-Unverdaechtiger-9539654.html
Ist immer interessant, hier am Ball zu bleiben.
Dennoch möchte ich es genauer ausgedrückt wissen: MS behauptet nicht: "kann nicht gestohlen werden". Sie schreiben "Hello stärkt Ihre Verteidigung gegen den Diebstahl von Anmeldeinformationen. Da ein Angreifer sowohl über das Gerät als auch über die biometrischen Informationen oder die PIN verfügen muss, ist es viel schwieriger, ohne das Wissen des Mitarbeiters Zugriff zu erhalten."
Sprich: auch wenn jemand den Fingerabdruckscanner umgehen kann, hat er nicht die Credentials generell, sondern nur auf diesem Gerät, wegen Bindung an die Hardware.
(Quelle: https://learn.microsoft.com/de-de/windows/security/identity-protection/hello-for-business/hello-biometrics-in-enterprise ).
Somit bleibt nach wie vor abzuwägen zwischen Sicherheit und Komfort – letzterer ist bei Hello unschlagbar hoch.
Und man kann diese Chips nicht von außen mit den Referenz Daten bespielen oder löschen?
Man sollte nie vergessen, dass der Fingerabdruck logisch einem mechanischen Schlüssel entspricht. Diesen muß man ggf. an staatliche Stellen herausgeben. (vgl. England). Das Passwort kann man olaf-scholzen, also als "mir nicht erinnerlich" für sich behalten, falsch herausgeben und man ist einfach nicht verpflichtet es herauszugeben, da man sich selbst nicht belasten muss und als Angeklagter lügen darf.
Zudem kann man ein verbranntes Passwort deutlich leichter ändern als einen Fingerabdruck.
Es ist nur eines:
Besser als gar nichts und sehr bequem,aber nicht sicherer.
"Diesen muß man ggf. an staatliche Stellen herausgeben"
Finger abschneiden und verbrennen ;P
Es soll Kriminelle gegeben haben, die sich für Papillen haben entfernen lassen.
Sau dumme Idee, denn soooo viele Leute ohne Papillen gibt es nicht…
Man kann nicht nicht-kommunizieren.
Hat man etwas anderes erwartet – eben.
Zumal man die Fingerabdrücke auf den Gerät recht simpel nachmachen kann, da überall vorhanden :-) Aber gut, der DAU kann sich keine 10 Zeichen mehr merken und wenn er alle 10 Finger registriert, muß er sich auch nicht mal mehr erinnern, welchen Finger er benötigt.
Der implantierte Chip kann ggf. ersetzt werden.
Der Finger nicht so spurlos.
Das mit der Tätowierung hatten wir auch schon.
Das ist denen später auf die Füße gefallen, als das System an Ende war und man so die Täter einfach finden konnte.
Ein Problem an dem die Geheimdienste zu knabbern haben, wenn die neue Mitarbeiter einschleusen wollen, oder alte schützen. Das mag manche seltsame Locken in gewissen Vorschriften in einem anderen Licht erscheinen lassen.
Belegen kann man das natürlich nicht.
Hallo zusammen,
hat hier jemand schon neue Erkenntnisse? Als Empfehlung für Hersteller steht:
We highly recommend vendors that are manufacturing biometric authentication solutions:
Make sure SDCP is enabled! (It doesn't help if it's not turned on)
Have a qualified expert 3rd party audit your implementation!
We'd be happy to work with vendors directly to help secure your implementation — get in touch.
Eine Möglichkeit zu prüfen, ob Secure Device Connection Protocol (SDCP) aktiviert ist wäre hier schon hilfreich, aber meine Suchen ergeben hier keine nutzbaren Ergebnisse.