Die Sicherheit von Windows Hello, einem biometrischen Authentifizierungssystem von Microsoft, wurde kürzlich in Frage gestellt. Forscher von Blackwing Intelligence haben Schwachstellen in der Fingerabdruckerkennung von Windows Hello aufgedeckt, die auf drei beliebten Windows-Laptops – Dell Inspiron 15, Lenovo ThinkPad T14 und Microsoft Surface Pro X – getestet wurden. Diese Entdeckung wirft Bedenken hinsichtlich der Konsistenz und Strenge der Sicherheitspraktiken von Laptop-Herstellern auf.
Die Forscher nutzten einzigartige Schwachstellen in jedem Laptop, um das Windows Hello Fingerabdrucksystem zu umgehen. Sie verwendeten ein speziell angefertigtes USB-Gerät, um die Sicherheitsmechanismen zu umgehen. Technisch gesehen sollte das Secure Device Connection Protocol (SDCP) von Microsoft solche Angriffe verhindern. Jedoch wurde festgestellt, dass das SDCP nicht von den Fingerabdrucklesern im Thinkpad T13 oder Surface Pro X verwendet wird, und bei dem Inspiron 15 konnte das SDCP-System von Blackwing Intelligence umgangen werden, indem die Fingerabdruckdatenbank des Laptops auf Linux umgeleitet wurde.
Interessanterweise war das Surface Pro X, ein 2-in-1-Laptop von Microsoft, das einfachste Ziel für die Forscher. Trotz seiner Besonderheit, da es von Microsoft hergestellt wird und das Windows on ARM-Betriebssystem verwendet, konnte jedes USB-Gerät sich als der Fingerabdrucksensor des Surface Pro X ausgeben. Die einzige nennenswerte Sicherheitsmaßnahme des Surface Pro X war eine Überprüfung der Anzahl der registrierten Fingerabdrücke.
Diese Forschungsergebnisse zeigen, dass solche Man-in-the-Middle-Angriffe physischen Zugang zum Laptop des Opfers erfordern. Nutzer, die sich vor solchen Angriffen schützen möchten, können dies tun, indem sie die Fingerabdruckanmeldung an ihrem Laptop deaktivieren. Blackwing Intelligence empfiehlt Laptop- und Fingerabdrucksensorherstellern, in Zukunft das SDCP zu implementieren und unabhängige Sicherheitsaudits durchzuführen.
Diese Entdeckungen sind besonders beunruhigend, da sie aufzeigen, dass selbst führende Laptop-Hersteller, einschließlich Microsoft, keine konsistenten Sicherheitspraktiken verfolgen. Dies unterstreicht die Notwendigkeit für strengere Sicherheitsstandards und regelmäßige Überprüfungen in der Technologiebranche, um die Vertraulichkeit und Sicherheit der Benutzer zu gewährleisten.