Windows Hello kann mit einer gefälschten USB-Kamera umgangen werden

0

Smartphones haben biometrische Authentifizierungen wie Fingerabdrücke und Gesichter verwendet, lange bevor diese auf Laptops und sogar Desktops verbreitet wurden.Das Windows Hello-Framework von Microsoft ist der Versuch, die gleiche Mischung aus Komfort und Sicherheit auf seine Desktop-Plattform zu bringen, und es scheint größtenteils gut genug zu funktionieren.Neue Sicherheitsforschungen enthüllen jedoch einen fatalen Fehler im Gesichtserkennungsprozess von Windows Hello, der die Authentifizierung mit einem speziell angefertigten USB-Gerät umgehen könnte.Glücklicherweise ist es nicht so einfach, das im wirklichen Leben auszunutzen wie der Fehler selbst.

Der Prozess, den die Sicherheitsforscher bei CyberArk durchlaufen haben, täuscht darüber hinweg, wie einfach es ist, Windows Hello oder zumindest sein Gesichtserkennungssystem zu täuschen.Windows erfordert, dass ein PC über eine Kamera mit RGB- und IR-Sensoren verfügt, damit die Windows Hello-Gesichtserkennung funktioniert.Es stellt sich jedoch heraus, dass wirklich nur die Daten des IR-Sensors entscheidend sind, um die Windows-Sicherheit zu umgehen.

Die Forscher entwickelten aus einem NXP-Evaluierungsboard ein USB-Gerät, das sich als USB-Kamera mit RGB- und IR-Sensoren präsentierte.In Wirklichkeit sendete das Gerät jedoch nur vorgefertigte Bildframes: einige IR-Frames des echten Besitzers und einige RGB-Frames von Spongebob.Nach mehreren Tests stellten die Forscher fest, dass sie wirklich nur einen IR-Rahmen und einen schlichten schwarzen RGB-Rahmen brauchten, um Windows Hello zu täuschen.

Laut CyberArkbesteht die Sicherheitsanfälligkeit, weil Windows Hello externe Geräte als Datenquellen für die biometrische Authentifizierung ermöglicht.Einerseits bleibt ihm nichts anderes übrig, da nicht alle Windows-PCs über eingebaute Kameras oder Fingerabdrucksensoren verfügen.Andererseits beweist die Forschung, dass es auch das schwächste Glied in einem narrensicheren Sicherheitssystem ist.

Zum Glück ist es nicht gerade eine Horrorgeschichte, die darauf wartet, zu passieren.Damit ein Angreifer diese Schwäche ausnutzen kann, muss er IR-Bilder vom Gesicht des Ziels erhalten, und das ist keine leichte Aufgabe.Sie würden auch physischen Zugriff auf den Desktop oder Laptop benötigen, und an diesem Punkt könnte es ohnehin andere Möglichkeiten geben, in das System einzudringen.

Share.

Leave A Reply