Die biometrische Authentifizierung von Windows Hello lässt sich mit einfachen Mitteln umgehen. Matthias Deeg und Philipp Buchegger von der Tübinger Sicherheitsfirma Syss konnten die Gesichtserkennung in Microsofts Betriebssystem bei mehreren Geräten lediglich mit einem Ausdruck auf Papier austricksen. Der von seinen Entdeckern “Biometricks” genannte Angriff funktionierte bei mehreren Versionen von Windows 10.
Allerdings muss das ausgedruckte Bild bestimmte Anforderungen erfüllen. Zunächst einmal muss es eine Aufnahme einer zur Anmeldung am System berechtigten Person sein. Außerdem muss es frontal und im Nahinfrarotbereich aufgenommen werden. Die Gesichtserkennung Windows Hello arbeitet ebenfalls mit einer Nahinfrarotkamera. Um erfolgreich zu sein, mussten die Sicherheitsforscher von Syss zudem Helligkeit und Kontrast des Bildes anpassen.
In der Standardkonfiguration lässt sich Windows Hello am einfachsten umgehen. Das belegten Deeg und Buchegger durch Versuche mit einem Microsoft Surface Pro 4 sowie dem Notebook Dell Latitude E7470 mit einer Windows-Hello-kompatiblen USB-Kamera. Schwieriger ist es, Windows Hello auszutricksen, wenn die Funktion “Enhanced Anti-Spoofing” aktiviert ist. Sie lässt sich aber nur mit bestimmter Hardware, etwa dem Surface Pro 4, zusammen verwenden. Außerdem sind detaillierte technische Kenntnisse notwendig, um sie zu aktivieren.
“Nach unseren bisher gewonnenen Erkenntnissen sind die neueren Windows 10-Versionen (Branches) 1703 und 1709 mit Nutzung der ‘Enhanced Anti-Spoofing’-Funktionalität und entsprechender Hardware nicht anfällig für den hier beschriebenen Spoofing-Angriff mit einem Papierausdruck”, so die Syss-Mitarbeiter. Sie empfehlen Anwendern daher das Update auf das Fall Creators Update (Windows 10 Version 1709) sowie die Aktivierung von “Enhanced Anti-Spoofing”.
Dann muss aber auch Windows Hello Face Authentication erneut konfiguriert werden. Windows Hello lässt sich sonst auch nach dem Update von einer anfälligen Windows-10-Version auf eine aktuellere Version weiterhin austricksen, warnen die Sicherheitsforscher.
[mit Material von Bernd Kling, ZDNet.de]
Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…
Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…
DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).
Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.
IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.
IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…
