Die biometrische Authentifizierung von Windows Hello lässt sich mit einfachen Mitteln umgehen. Matthias Deeg und Philipp Buchegger von der Tübinger Sicherheitsfirma Syss konnten die Gesichtserkennung in Microsofts Betriebssystem bei mehreren Geräten lediglich mit einem Ausdruck auf Papier austricksen. Der von seinen Entdeckern “Biometricks” genannte Angriff funktionierte bei mehreren Versionen von Windows 10.
Allerdings muss das ausgedruckte Bild bestimmte Anforderungen erfüllen. Zunächst einmal muss es eine Aufnahme einer zur Anmeldung am System berechtigten Person sein. Außerdem muss es frontal und im Nahinfrarotbereich aufgenommen werden. Die Gesichtserkennung Windows Hello arbeitet ebenfalls mit einer Nahinfrarotkamera. Um erfolgreich zu sein, mussten die Sicherheitsforscher von Syss zudem Helligkeit und Kontrast des Bildes anpassen.
In der Standardkonfiguration lässt sich Windows Hello am einfachsten umgehen. Das belegten Deeg und Buchegger durch Versuche mit einem Microsoft Surface Pro 4 sowie dem Notebook Dell Latitude E7470 mit einer Windows-Hello-kompatiblen USB-Kamera. Schwieriger ist es, Windows Hello auszutricksen, wenn die Funktion “Enhanced Anti-Spoofing” aktiviert ist. Sie lässt sich aber nur mit bestimmter Hardware, etwa dem Surface Pro 4, zusammen verwenden. Außerdem sind detaillierte technische Kenntnisse notwendig, um sie zu aktivieren.
“Nach unseren bisher gewonnenen Erkenntnissen sind die neueren Windows 10-Versionen (Branches) 1703 und 1709 mit Nutzung der ‘Enhanced Anti-Spoofing’-Funktionalität und entsprechender Hardware nicht anfällig für den hier beschriebenen Spoofing-Angriff mit einem Papierausdruck”, so die Syss-Mitarbeiter. Sie empfehlen Anwendern daher das Update auf das Fall Creators Update (Windows 10 Version 1709) sowie die Aktivierung von “Enhanced Anti-Spoofing”.
Dann muss aber auch Windows Hello Face Authentication erneut konfiguriert werden. Windows Hello lässt sich sonst auch nach dem Update von einer anfälligen Windows-10-Version auf eine aktuellere Version weiterhin austricksen, warnen die Sicherheitsforscher.
[mit Material von Bernd Kling, ZDNet.de]
Ein elementarer Bestandteil einer effektiven Cloud-Strategie ist nach erfolgter Implementierung die künftige Verwaltung des Dienstes.
Die Neuerungen sollen den Digital Thread, die Low-Code-Entwicklung, die Visualisierung komplexer Baugruppen und das Lieferantenmanagement…
Eine Bitkom-Umfrage attestiert der Datenraum-Initiative des Bundes hohe Bekanntheit in der Industrie. Doch noch ist…
Ransomware-as-a-Service ist ein lukratives Geschäft und in den Händen professionell organisierter Gruppen. Jetzt können Kriminelle…
Bad Bots richten nicht nur wirtschaftlichen Schaden an. Laut dem Bad Bot Report von Imperva…
Studie von OVHcloud verdeutlicht Stellenwert von Datenresidenz und Datensouveränität bei KI-Anwendungen.
