Windows Hello ließ sich offenbar mit einem speziell angefertigten Foto austricksen, zumindest, wenn die Gesichtserkennung verwendet wurde. Das Gute an der Sache ist, dass dieser Trick längst nicht mehr funktioniert.
Sicherheitsexperten der SySS GmbH haben herausgefunden, dass sich Windows Hello austricksen lässt mit einem speziellen Foto. Dafür wird eine frontale Infrarotaufnahme der Person benötigt, die Eigentümer des PCs ist. Diese wird daraufhin mit einem Laserdrucker auf Papier gedruckt in der Größe eines Gesichts mit einer 320 x 320-Auflösung. Dabei wurden auch der Kontrast des Bildes sowie die Helligkeit verändert, damit der Trick funktionieren konnte.
Legte man das Bild vor einen PC mit Windows Hello-Gesichtserkennung, wurde es als der Eigentümer des PCs erkannt, sodass der Login umgangen werden konnte.
> Windows Hello-Kamera im Blitzangebot bei Amazon
Trick funktioniert nicht mehr
Microsoft wurde im Oktober 2017 darüber informiert und man stand in sehr engem Kontakt mit dem deutschen Unternehmen. Die Redmonder hatten das Problem allerdings – ohne davon zu wissen – bereits im April 2017 behoben, denn der Trick funktioniert nicht mehr. Schon mit Windows 10 Version 1703, nämlich dem Windows 10 Creators Update, kann die Windows Hello-Gesichtserkennung nicht ausgetrickst werden. Im Windows 10 Fall Creators Update sowieso nicht, denn auch hier wurde die Sicherheit offenbar verbessert. Hierbei ist wichtig zu erwähnen, dass dafür das „Enhanced Anti-Spoofing“-Feature aktiviert sein muss, das allerdings bei allen Geräten standardmäßig eingeschaltet ist. Ihr müsstet es also manuell deaktivieren, sodass der Trick funktioniert.
Windows Hello-Gesichtserkennung ist sehr sicher
Interessant ist, dass die Funktion erst nach zweieinhalb Jahren zum allerersten Mal überlistet werden konnte. Bislang galt die Windows Hello-Gesichtserkennung als unknackbar, denn mit Fotos der Person konnte man die Erkennung des PC-Eigentümers bislang nie hereinlegen.
Dass nun ein Mechanismus gefunden wurde, welcher das Austricksen von einer Windows 10-Version aus dem Jahr 2016 erlaubt, ist unserer Meinung nach nicht besorgniserregend. Eher ist es beeindruckend, dass es so lange gedauert hat.
Das iPhone X ist bislang die einzige Referenz, welches Gesichtserkennung nutzt und diese konnte bereits häufiger manipuliert werden. Einerseits scheint sie weniger zuverlässig zu funktionieren, andererseits konnte sie durch Fotos geknackt werden. Während Apple behauptet hatte, dass die Gesichtserkennung am iPhone X höchstens von „bösen Zwillingen“ manipuliert werden kann, wurden selbst die oben abgebildeten Geschwister ohne allzu großer Ähnlichkeit als dieselbe Person erkannt.
> Windows Hello-Kamera im Blitzangebot bei Amazon
via Dr. Windows
