Sicherheitsforscher der Firma Blackwing Intelligence haben eine Schwachstelle in der Fingerabdruck-Authentifizierung von Windows Hello ausgenutzt, um sich auf drei verschiedenen Laptop-Modellen anzumelden. Die betroffenen Geräte sind Dell Inspiron 15, Lenovo ThinkPad T14 und Microsoft Surface Pro X mit Type Cover. Die drei Geräte wurden ausgewählt, da sie drei unterschiedliche Sensoren nutzen, die Hersteller üblicherweise gerne in ihre Laptops verbauen, nämlich Chips von Goodix, ELAN und Synaptics.
Die Forscher nutzten verschiedene Methoden, um die Kommunikation zwischen dem Fingerabdrucksensor und dem Betriebssystem zu manipulieren oder zu imitieren. Dabei fanden sie heraus, dass einige Hersteller das von Microsoft entwickelte Secure Device Connection Protocol (SDCP) nicht aktiviert oder korrekt implementiert hatten. Dieses Protokoll soll eine sichere Verbindung zwischen dem Sensor und dem Host gewährleisten und verhindern, dass ein Angreifer gefälschte oder gespeicherte Fingerabdrücke verwenden kann.
Bei dem Dell-Gerät konnten die Forscher einen gültigen Fingerabdruck-ID-Wert auslesen und einen eigenen Fingerabdruck mit derselben ID im Sensor speichern. Dazu mussten sie das Gerät jedoch zuerst in Linux booten und dann die Sensor-Konfiguration über eine USB-Man-in-the-Middle-Attacke ändern.
Bei dem Lenovo-Gerät war SDCP ebenfalls deaktiviert, obwohl der Sensor es unterstützt hätte. Stattdessen wurde eine eigene TLS-Implementierung verwendet, um die Kommunikation zu verschlüsseln. Die Forscher konnten jedoch den Schlüssel zum Entschlüsseln des TLS-Handshakes aus dem BIOS auslesen und so eine TLS-Sitzung mit dem Sensor aufbauen. Dann konnten sie einen eigenen Fingerabdruck mit einer gültigen ID einschreiben und sich als anderer Benutzer anmelden.
Bei dem Surface-Gerät war die Sicherheit am schwächsten. Der Sensor verwendete weder SDCP noch TLS, sondern kommunizierte im Klartext über USB. Die Forscher konnten einfach ein USB-Gerät anschließen, das sich als der Sensor ausgab, und dem Betriebssystem vorgaukeln, dass ein autorisierter Benutzer seinen Fingerabdruck präsentiert hatte.
Die Forscher haben ihre Ergebnisse auf der Microsoft BlueHat Konferenz präsentiert und empfehlen den Herstellern, SDCP zu aktivieren und ihre Implementierung von einem unabhängigen Experten überprüfen zu lassen. Sie planen, ihre Forschung auf andere Betriebssysteme und Geräte auszuweiten.
Quelle: Blackwing
