Laut Neowin gab das Team von Blackwell Intelligence seine Erkenntnisse im vergangenen Oktober während der BlueHat-Sicherheitskonferenz von Microsoft bekannt, veröffentlichte die Ergebnisse jedoch erst diese Woche auf seiner eigenen Website. Der Blogbeitrag mit dem Titel „A Touch of Pwn“ besagt, dass das Team Fingerabdrucksensoren in Dell Inspiron 15- und Lenovo ThinkPad T14-Laptops sowie in Microsoft Surface Pro Type Covers mit Fingerabdruck-ID für Surface Pro 8 und X verwendet hat. Die spezifischen Fingerabdrucksensoren wurden von Goodix, Synaptics und ELAN hergestellt.
Blackwell benötigte etwa drei Monate Forschung, um eine Schwachstelle in Windows Hello zu entdecken.
Alle von uns getesteten Windows Hello-fähigen Fingerabdrucksensoren verwenden chipbasierte Hardware, d. h. die Authentifizierung erfolgt auf dem Sensor selbst, der über einen eigenen Chip und Speicher verfügt.
In seiner Erklärung sagte Blackwell, dass die Datenbank mit „Fingerabdruckvorlagen“ (biometrische Daten, die vom Fingerabdrucksensor erfasst werden) auf dem Chip gespeichert sei und dass Registrierung und Abgleich direkt im Chip erfolgten. Da die Fingerabdruckmuster den Chip nie verlassen, werden Datenschutzbedenken ausgeräumt, da biometrische Daten sicher gespeichert werden. Dies verhindert auch Angriffe, bei denen ein gültiges Fingerabdruckbild zum Vergleich an den Server gesendet wird.
Blackwell gelang es jedoch, das System zu umgehen, indem er mittels Reverse Engineering eine Schwachstelle im Fingerabdrucksensor fand und anschließend sein eigenes USB-Gerät erstellte, um einen Man-in-the-Middle-Angriff (MitM) durchzuführen. Mit diesem Gerät kann die Gruppe die Hardware zur Fingerabdruckauthentifizierung in diesen Geräten umgehen.
Außerdem war laut Blackwell bei zwei der drei getesteten Fingerabdrucksensoren SDCP nicht einmal aktiviert, obwohl Microsoft das Secure Device Connection Protocol (SDCP) verwendet, um einen sicheren Kanal zwischen dem Server und dem biometrischen Gerät bereitzustellen. Blackwell empfiehlt allen Herstellern von Fingerabdrucksensoren, SDCP nicht nur auf ihren Produkten zu aktivieren, sondern auch die Funktionsfähigkeit durch ein Drittunternehmen sicherstellen zu lassen.
Bemerkenswert ist, dass Blackwell etwa drei Monate harter Arbeit benötigte, um diese Hardwareprodukte für Fingerabdrücke zu übertreffen. Es ist noch nicht klar, wie Microsoft und andere Hersteller von Fingerabdrucksensoren das Problem auf Grundlage dieser Untersuchungen beheben werden.
[Anzeige_2]
Quellenlink
![[Foto] Premierminister Pham Minh Chinh leitet Regierungskonferenz mit Kommunen zum Thema Wirtschaftswachstum](https://vstatic.vietnam.vn/vietnam/resource/IMAGE/2025/2/21/f34583484f2643a2a2b72168a0d64baa)
Kommentar (0)