Windows Hello: Biometrische Authentifizierung von Windows lässt sich umgehen

Windows Hello (Bild: Microsoft)

Sicherheitsspeziaisten der deutschen Firma Syss benötigten dafür lediglich einen Ausdruck auf Papier. Der von ihnen “Biometricks” gennante Angriff auf Windows Hello lässt sich in den aktuellsten Versionen von Windows 10 mit der Aktivierung von “Enhanced Anti-Spoofing” abwehren.

Die biometrische Authentifizierung von Windows Hello lässt sich mit einfachen Mitteln umgehen. Matthias Deeg und Philipp Buchegger von der Tübinger Sicherheitsfirma Syss konnten die Gesichtserkennung in Microsofts Betriebssystem bei mehreren Geräten lediglich mit einem Ausdruck auf Papier austricksen. Der von seinen Entdeckern “Biometricks” genannte Angriff funktionierte bei mehreren Versionen von Windows 10.

Windows Hello (Bild: Microsoft)

Allerdings muss das ausgedruckte Bild bestimmte Anforderungen erfüllen. Zunächst einmal muss es eine Aufnahme einer zur Anmeldung am System berechtigten Person sein. Außerdem muss es frontal und im Nahinfrarotbereich aufgenommen werden. Die Gesichtserkennung Windows Hello arbeitet ebenfalls mit einer Nahinfrarotkamera. Um erfolgreich zu sein, mussten die Sicherheitsforscher von Syss zudem Helligkeit und Kontrast des Bildes anpassen.

In der Standardkonfiguration lässt sich Windows Hello am einfachsten umgehen. Das belegten Deeg und Buchegger durch Versuche mit einem Microsoft Surface Pro 4 sowie dem Notebook Dell Latitude E7470 mit einer Windows-Hello-kompatiblen USB-Kamera. Schwieriger ist es, Windows Hello auszutricksen, wenn die Funktion “Enhanced Anti-Spoofing” aktiviert ist. Sie lässt sich aber nur mit bestimmter Hardware, etwa dem Surface Pro 4, zusammen verwenden. Außerdem sind detaillierte technische Kenntnisse notwendig, um sie zu aktivieren.

“Nach unseren bisher gewonnenen Erkenntnissen sind die neueren Windows 10-Versionen (Branches) 1703 und 1709 mit Nutzung der ‘Enhanced Anti-Spoofing’-Funktionalität und entsprechender Hardware nicht anfällig für den hier beschriebenen Spoofing-Angriff mit einem Papierausdruck”, so die Syss-Mitarbeiter. Sie empfehlen Anwendern daher das Update auf das Fall Creators Update (Windows 10 Version 1709) sowie die Aktivierung von “Enhanced Anti-Spoofing”.

Dann muss aber auch Windows Hello Face Authentication erneut konfiguriert werden. Windows Hello lässt sich sonst auch nach dem Update von einer anfälligen Windows-10-Version auf eine aktuellere Version weiterhin austricksen, warnen die Sicherheitsforscher.



[mit Material von Bernd Kling, ZDNet.de]