Die biometrische Authentifizierung von Windows Hello lässt sich mit einfachen Mitteln umgehen. Matthias Deeg und Philipp Buchegger von der Tübinger Sicherheitsfirma Syss konnten die Gesichtserkennung in Microsofts Betriebssystem bei mehreren Geräten lediglich mit einem Ausdruck auf Papier austricksen. Der von seinen Entdeckern “Biometricks” genannte Angriff funktionierte bei mehreren Versionen von Windows 10.
Allerdings muss das ausgedruckte Bild bestimmte Anforderungen erfüllen. Zunächst einmal muss es eine Aufnahme einer zur Anmeldung am System berechtigten Person sein. Außerdem muss es frontal und im Nahinfrarotbereich aufgenommen werden. Die Gesichtserkennung Windows Hello arbeitet ebenfalls mit einer Nahinfrarotkamera. Um erfolgreich zu sein, mussten die Sicherheitsforscher von Syss zudem Helligkeit und Kontrast des Bildes anpassen.
In der Standardkonfiguration lässt sich Windows Hello am einfachsten umgehen. Das belegten Deeg und Buchegger durch Versuche mit einem Microsoft Surface Pro 4 sowie dem Notebook Dell Latitude E7470 mit einer Windows-Hello-kompatiblen USB-Kamera. Schwieriger ist es, Windows Hello auszutricksen, wenn die Funktion “Enhanced Anti-Spoofing” aktiviert ist. Sie lässt sich aber nur mit bestimmter Hardware, etwa dem Surface Pro 4, zusammen verwenden. Außerdem sind detaillierte technische Kenntnisse notwendig, um sie zu aktivieren.
“Nach unseren bisher gewonnenen Erkenntnissen sind die neueren Windows 10-Versionen (Branches) 1703 und 1709 mit Nutzung der ‘Enhanced Anti-Spoofing’-Funktionalität und entsprechender Hardware nicht anfällig für den hier beschriebenen Spoofing-Angriff mit einem Papierausdruck”, so die Syss-Mitarbeiter. Sie empfehlen Anwendern daher das Update auf das Fall Creators Update (Windows 10 Version 1709) sowie die Aktivierung von “Enhanced Anti-Spoofing”.
Dann muss aber auch Windows Hello Face Authentication erneut konfiguriert werden. Windows Hello lässt sich sonst auch nach dem Update von einer anfälligen Windows-10-Version auf eine aktuellere Version weiterhin austricksen, warnen die Sicherheitsforscher.
[mit Material von Bernd Kling, ZDNet.de]
Studie von OVHcloud verdeutlicht Stellenwert von Datenresidenz und Datensouveränität bei KI-Anwendungen.
Mit KI können Unternehmen der Paketbranche Prozesse optimieren, Kosten einsparen und sich zukunftssicher aufstellen.
Land Niedersachsen schließt datenschutzrechtliche Vereinbarung mit Microsoft zur Nutzung von Teams ab.
Ein Großteil der Inventurdifferenzen im deutschen Einzelhandel wird durch Ladendiebstähle verursacht.
DDoS-Angriffe haben seit dem Beginn des Krieges zwischen Russland und der Ukraine an Häufigkeit und…
Lieferkettenplanung in Deutschland auf Basis von Excel bei 37 Prozent der befragten Unternehmen im Einsatz.
