Windows 10 Hello: Sicherheitsspezialisten tricksen Gesichtserkennung aus

Experten der Tübinger Sicherheitsfirma Syss GmbH ist es mit einem Papierausdruck gelungen, die biometrische Authentifizierung von Windows Hello zu umgehen. Mit einem Spoofing-Angriff konnten Matthias Deeg und Philipp Buchegger bei mehreren Geräten die Gesichtserkennung austricksen, wie sie mit einem Demo-Video zeigen. Der Angriff war bei verschiedenen Versionen von Windows 10 erfolgreich.

Erforderlich war ein Papierausdruck aus dem Laserdrucker, der sich durch bestimmte Eigenschaften auszeichnete. Grundlage war das Bild einer zur Anmeldung am jeweiligen System berechtigten Person. Das Gesicht musste frontal und außerdem in Nahinfrarotbereich aufgenommen werden, da auch Windows Hello Face Identification mit einer Nahinfrarotkamera arbeitet. Abschließend waren Helligkeit und Kontrast des Bildes mit einfachen Mitteln zu ändern.

Besonders einfach war die Gesichtserkennung in der Standardkonfiguration zu umgehen, wie sich bei Versuchen mit Microsofts Surface Pro 4 und dem Dell-Notebook Latitude E7470 mit einer zu Windows Hello kompatiblen USB-Kamera zeigte. Mehr Widerstand bot Windows Hello mit der Funktion „Enhanced Anti-Spoofing“ aktiviert war. Sie kann aber nur mit bestimmter Hardware wie Surface Pro 4 genutzt werden und setzt einige Kenntnisse voraus, um sie überhaupt zu aktivieren.

„Nach unseren bisher gewonnenen Erkenntnissen sind die neueren Windows 10-Versionen (Branches) 1703 und 1709 mit Nutzung der ‚Enhanced Anti-Spoofing‘-Funktionalität und entsprechender Hardware nicht anfällig für den hier beschriebenen Spoofing-Angriff mit einem Papierausdruck“, berichten die Mitarbeiter von Syss in ihrem Pentest Blog. Sie empfehlen daher das Update auf das Fall Creators Update, auch bekannt als Windows 10 Version 1709, sowie die Aktivierung von „Enhanced Anti-Spoofing“.

Erforderlich ist dann aber auch die erneute Konfiguration von Windows Hello Face Authentication. Ohne diese lässt sich Windows Hello weiterhin austricksen, wenn das Update von einer anfälligen Windows-10-Version wie 1511 oder 1607 aus auf eine aktuellere Version erfolgte, warnen die Sicherheitsforscher.

Weitere Hinweise zur „Biometricks“-Schwachstelle von Windows Hello sind einem Security Advisory zu entnehmen. Zusätzliche Einzelheiten des Forschungsprojekts, etwa zu Variationen des Spoofing-Angriffs, sollen im Frühjahr 2018 veröffentlicht werden.

HIGHLIGHT

Samsung DeX mit Galaxy S8 und Portable SSD T5 im Praxistest

Mit DeX steht für die Galaxy-Smartphones S8, S8+ und Note 8 eine Dockingstation zur Verfügung, mit der man die Samsung-Smartphones als Basis für einen Desktop-Arbeitsplatz nutzen kann. Wer in diesem Szenario auf einen sicheren Speicherplatz angewiesen ist, kann zur Portable SSD T5 greifen, die es mit Kapazitäten von bis zu 2 Terabyte gibt.

ZDNet.de Redaktion

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

2 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

6 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

6 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

7 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

7 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

9 Stunden ago