Windows-Benutzer waren begeistert, Geräte mit fingerabdruckbasierter biometrischer Authentifizierung zu sehen, ähnlich wie bei Apples Touch ID auf Laptops und Computern. Das Problem ist jedoch, dass auf Windows die Dinge nicht so reibungslos laufen, da Schwachstellen in Windows Hello bei der Fingerabdruck-Authentifizierung auf Spitzenlaptops entdeckt wurden.
Sicherheitsforscher enthüllten, dass das Fingerabdruck-Authentifizierungssystem Windows Hello, vorhanden auf drei der beliebtesten Laptops Windows, bietet nicht das erwartete Maß an Sicherheit. Auf Wunsch von Microsoft führte das Cybersicherheitsunternehmen Blackwing Intelligence Penetrationstests durch und stellte fest, dass alle drei Laptops diese Tests nicht bestanden.
Trotz der Tatsache, dass das Microsoft Surface getestet wurde, erwies es sich als das anfälligste der drei getesteten Modelle und ermöglichte eine einfache Umgehung der biometrischen Fingerabdruck-Authentifizierung Windows Hello.
Das Forschungsteam von Microsoft (MORSE) hat ausdrücklich die Sicherheitsbewertung für die leistungsstärksten in Laptops integrierten Fingerabdrucksensoren angefordert, die Ergebnisse zeigten jedoch, dass das Team mehrere Schwachstellen erfolgreich ausgenutzt hat. Jeder Laptop, einschließlich des Dell Inspiron 15 und des Lenovo ThinkPad T14, erforderte unterschiedliche Ansätze zur Umgehung bestehender Sicherheitsprotokolle.
Diese Schwachstellen Windows Hello zur Authentifizierung per Fingerabdruck betont die kontinuierliche Bedeutung der Verbesserung der Authentifizierungssysteme, um ein höheres Maß an Sicherheit zu gewährleisten.
Inhalt
Windows Hello-Schwachstellen bei der Fingerabdruck-Authentifizierung auf dem Dell Inspiron 15
Dell Inspiron 15 weist erhebliche Schwachstellen auf Windows Hello zur Authentifizierung per Fingerabdruck. Wenn das Gerät eingeschaltet ist WindowsEs befolgt vollständige Sicherheitsprotokolle, einschließlich Secure Device Connection Protocol (SDCP). Diese Protokolle führen wesentliche Prüfungen durch, z. B. stellen sie sicher, dass der Host mit einem vertrauenswürdigen Gerät kommuniziert und dass Fingerabdruckdaten nicht gespeichert oder weitergeleitet werden. Allerdings hat das Team, das Schwachstellen getestet hat Windows Hello Habe das beim Zugriff auf den Fingerabdruckleser bemerkt Windows Verwendet SDCP, Zugriff auf Linux nicht. Und sie hatten eine Idee.
Durch Initiieren des Zielgeräts Linux und Nebennutzung Linux um den Fingerabdruck des Angreifers in die Datenbank einzugeben, indem er dieselbe ID angibt wie ein legitimer Benutzer, der sich über angemeldet hat WindowsDas Team hat eine Schwachstelle identifiziert. Auch wenn dieser Versuch zunächst erfolglos blieb, wurden dafür separate On-Chip-Datenbanken entdeckt Windows şi Linux, konnte festgestellt werden, wie Windows wusste, auf welche Datenbank zugegriffen werden musste, und konnte sie auf die Datenbank weiterleiten, auf der sie sich befand Linux.
Dies ebnete den Weg für die nächste Lösung, die einen Angriff beinhaltete Man in the Middle (MitM). Hier sind die Schritte dieser Sicherheitslücke Windows Hello bei Fingerabdruck-Authentifizierung eingeschaltet Dell Inspiron 15.
1. Das System ist eingeschaltet Linux.
2. Gültige IDs werden aufgelistet. Es werden also diejenigen ermittelt, die autorisiert werden können.
3. Es wird die Registrierung des Fingerabdrucks des Angreifers unter Verwendung derselben ID wie bei einem legitimen Benutzer durchgeführt Windows.
4. Geben Sie Angriff ein Man in the Middle (MitM) auf der Verbindung zwischen Host und Sensor.
5. Starten Sie das System Windows.
6. Abfangen und Umschreiben des Konfigurationspakets, um auf die Datenbank zu verweisen Linux Verwendung des MitM-Angriffs.
7. Die Authentifizierung erfolgt als legitimer Benutzer mit dem Fingerabdruck des Angreifers.
Eine relativ einfache Methode für den Benutzertyp, der über durchschnittliche Kenntnisse der Architektur von Betriebssystemen verfügt Linux und Systeme Windows.
Beim Microsoft Surface Pro 8/X ist die Schwachstelle sogar noch einfacher auszunutzen.
Fingerabdruck-ID-Schwachstelle auf dem Microsoft Surface Pro Type Cover
Bezüglich der Schwachstelle, die beim Microsoft Surface Pro Type Cover mit Fingerabdruck-ID festgestellt wurde, erwartete das Forschungsteam, dass ein offizielles Microsoft-Produkt den höchsten Schwierigkeitsgrad aufweisen würde, war jedoch verblüfft, als es eine unglaublich schwache Sicherheit feststellte. In diesem Fall war das Fehlen des Secure Device Connection Protocol (SDCP) sowie der Klartext-USB-Kommunikation (unverschlüsselt) und das Fehlen einer Authentifizierung offensichtlich.
Aufgrund dieser mangelnden Sicherheit kam das Team zu dem Schluss, dass sie einfach den Fingerabdrucksensor ausstecken und ihr eigenes Gerät anschließen könnten, um ihn nachzuahmen. Das Verfahren bestand darin, das Type Cover zu trennen (der Treiber kann nicht mit zwei angeschlossenen Sensoren umgehen und wird instabil), das Angriffsgerät anzuschließen, die VID/PID des Sensors hochzustufen und die gültige SID des Treibers zu beobachten Windows, den Scheck bestehen“how many fingerprints” und Initiieren der Fingerabdruck-Authentifizierung auf dem System Windows, gefolgt vom Senden einer gültigen Anmeldeantwort vom gefälschten Gerät.
Zusammenfassend sind diese Schwachstellen Windows Hello zur Authentifizierung per Fingerabdruck wies auf die erheblichen Schwachstellen hin, die bei der Implementierung biometrischer Authentifizierungssysteme bestehen können.
Was es ist Windows Hello?
Erstmals eingeführt mit der Veröffentlichung des Betriebssystems Windows 10 und weiterhin erweiterte Funktionalität auf Desktop- und Laptop-Computern bereitzustellen Windows 11, Windows Hello ist eine schnellere und sicherere Möglichkeit, sofortigen Zugriff auf Geräte zu erhalten Windows.
Dieses erweiterte Authentifizierungssystem ermöglicht Ihnen den Zugriff auf Ihre Geräte Windows 11 per PIN-Code, Gesichtserkennung oder Fingerabdruck. Um diese Optionen nutzen zu können, müssen Sie bei der Initialisierung des Fingerabdrucks oder der Gesichtserkennung einen PIN-Code einrichten. Sie können sich aber auch nur mit Ihrer PIN authentifizieren.
Diese Optionen machen die Anmeldung an Ihrem PC nicht nur deutlich einfacher, sondern machen sie auch sicherer, da Ihre PIN nur einem Gerät zugeordnet ist und zur Wiederherstellung über Ihr Microsoft-Konto gesichert wird.