Laut Neowin gab das Blackwell Intelligence-Team seine Erkenntnisse im vergangenen Oktober während der BlueHat-Sicherheitskonferenz von Microsoft bekannt, veröffentlichte die Ergebnisse jedoch erst diese Woche auf seiner eigenen Website. In dem Blogbeitrag mit dem Titel „A Touch of Pwn“ heißt es, das Team habe Fingerabdrucksensoren in Dell Inspiron 15- und Lenovo ThinkPad T14-Laptops sowie in Microsoft Surface Pro Type Covers mit Fingerabdruck-ID für Surface Pro 8 und X verwendet. Die spezifischen Fingerabdrucksensoren wurden von Goodix, Synaptics und ELAN hergestellt.
Blackwell benötigte etwa drei Monate Forschung, um eine Sicherheitslücke in Windows Hello zu entdecken.
Alle von uns getesteten Windows Hello-fähigen Fingerabdrucksensoren verwenden chipbasierte Hardware, d. h. die Authentifizierung erfolgt auf dem Sensor selbst, der über einen eigenen Chip und Speicher verfügt.
In seiner Erklärung sagte Blackwell, dass die Datenbank mit den „Fingerabdruckvorlagen“ (biometrische Daten, die vom Fingerabdrucksensor erfasst werden) auf dem Chip gespeichert sei und dass Registrierung und Abgleich direkt im Chip erfolgten. Da die Fingerabdruckmuster den Chip nie verlassen, werden Datenschutzbedenken ausgeräumt, da biometrische Daten sicher gespeichert werden. Dadurch werden auch Angriffe verhindert, bei denen ein gültiges Fingerabdruckbild zum Vergleich an den Server gesendet wird.
Blackwell gelang es jedoch, das System zu umgehen, indem er mittels Reverse Engineering eine Schwachstelle im Fingerabdrucksensor fand und anschließend sein eigenes USB-Gerät erstellte, um einen Man-in-the-Middle-Angriff (MitM) durchzuführen. Mit diesem Gerät kann die Gruppe die Fingerabdruck-Authentifizierungshardware in diesen Geräten umgehen.
Laut Blackwell nutzt Microsoft zwar das Secure Device Connection Protocol (SDCP), um einen sicheren Kanal zwischen dem Server und dem biometrischen Gerät bereitzustellen, doch bei zwei der drei getesteten Fingerabdrucksensoren war SDCP nicht einmal aktiviert. Blackwell empfiehlt allen Herstellern von Fingerabdrucksensoren, SDCP nicht nur auf ihren Produkten zu aktivieren, sondern auch die Funktionsfähigkeit durch ein Drittunternehmen sicherstellen zu lassen.
Bemerkenswert ist, dass Blackwell etwa drei Monate harter Arbeit brauchte, um diese Fingerabdruck-Hardwareprodukte zu übertreffen. Es ist noch nicht klar, wie Microsoft und andere Fingerabdrucksensor-Unternehmen das Problem auf der Grundlage dieser Forschung beheben werden.
[Anzeige_2]
Quellenlink
![[Foto] Mehr als 17.000 Kandidaten nehmen am SPT-Kompetenzbewertungstest 2025 der Hanoi National University of Education teil](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/5/17/e538d9a1636c407cbb211b314e6303fd)
![[Foto] Leser stehen Schlange, um die Fotoausstellung zu besuchen und eine Sonderpublikation zum 135. Geburtstag von Präsident Ho Chi Minh bei der Nhan Dan Zeitung zu erhalten](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/5/17/85b3197fc6bd43e6a9ee4db15101005b)
![[Foto] Premierminister Pham Minh Chinh leitet Treffen zur Entwicklung von Wissenschaft und Technologie](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/5/17/ae80dd74c384439789b12013c738a045)
![[Foto] Fast 3.000 Studenten von Geschichten über Soldaten bewegt](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/5/17/21da57c8241e42438b423eaa37215e0e)
Kommentar (0)