Bestimmte Fingerabdrucksensoren auf Windows-Computern weisen Sicherheitsmängel auf. Wissenschaftler haben es geschafft, die Authentifizierungsmechanismen zu umgehen und sich als andere Benutzer einzuloggen.
Sicherheitsexperten gelang es, die Fingerabdruck-basierte biometrische Anmeldefunktion von Windows Hello auf verschiedenen Computermodellen zu umgehen, wodurch sie Zugang zu den Systemen erhielten. Sie machten sich dabei mehrere Sicherheitslücken zunutze. Ein wesentlicher Faktor war dabei die unzureichende Umsetzung von Sicherheitsmaßnahmen durch verschiedene Hersteller, einschließlich Microsoft.
Schwachstellenfund
Bei der BlueHat-Konferenz im Oktober 2023 präsentierten Sicherheitsforscher, die im Auftrag von Microsofts Offensive Research and Security Engineering (MORSE) agierten, bedeutsame Erkenntnisse zur Sicherheit von Fingerabdrucksensoren in verbreiteten Windows-Laptops. Die betroffenen Geräte umfassten Modelle, die Fingerabdrucksensoren der Hersteller Elan, Googix und Synaptics integrierten. Ihre detaillierten Ergebnisse fassten die Forscher in einem umfassenden Bericht zusammen.
Diese Sensoren arbeiten alle auf Basis eines Match-on-Chip-Designs (MoC), was bedeutet, dass sie mit einem eigenen Mikroprozessor und Speicher ausgestattet sind. Dadurch erfolgt die biometrische Überprüfung direkt auf dem Chip, isoliert von anderen Systemkomponenten. Ein solches Design zielt auch darauf ab, Replay-Attacken – also das unautorisierte Übermitteln bereits gespeicherter gültiger Fingerabdrücke an den Host – zu verhindern.
Trotz des von Microsoft entwickelten Secure Device Connection Protocol (SDCP), das die Integrität und Vertrauenswürdigkeit der Kommunikation zwischen Sensor und Host sicherstellen soll, stellten die Forscher erhebliche Sicherheitsmängel fest. SDCP soll die Integrität und Vertrauenswürdigkeit bei der Kommunikation mit dem Host wahren. Doch manchmal scheint das aus unterschiedlichen Gründen nicht einwandfrei zu klappen.
Attacke mit dem Raspberry Pi
Für ihre Untersuchung wählten die Forscher speziell die Modelle Dell Inspiron 15, Microsoft Surface Pro X und Lenovo ThinkPad T14 aus, die alle mit den genannten Sensoren ausgestattet sind. Sie konnten die Sicherheitsvorkehrungen aller drei Modelle mit einem Raspberry Pi 4, der Linux und verschiedene Man-in-the-Middle-Tools nutzte, umgehen. Insbesondere gelang es ihnen, das TLS-Protokoll des Synaptics-Sensors zu entschlüsseln und in modifizierter Form zurückzuspielen.
Besonders bemerkenswert war, dass bei den Dell- und Lenovo-Modellen die vorhandenen Fingerabdrucksensoren physisch abgetrennt und durch manipulierte Sensoren ersetzt werden konnten. Beim Surface Pro X von Microsoft, dem Entwickler des SDCP, war überraschenderweise kein SDCP-Schutz implementiert, was den Forschern ermöglichte, sich mit einem gefälschten Sensor anzumelden. Dies stellt ein erhebliches Sicherheitsrisiko dar, da Angreifer auf diese Weise Administratorzugriff auf die Laptops erlangen könnten.
Die Durchführung dieser Angriffe erforderte keinen Neustart der PCs mit einem Linux-System; sie funktionierten direkt unter laufendem Windows. Interessanterweise hatten Sicherheitsmaßnahmen wie Bitlocker keinen Einfluss auf die Wirksamkeit dieser Angriffe.
Die Forscher konnten in ihrem Bericht keine spezifischen Lösungen für die Besitzer der betroffenen Geräte anbieten. Sie rieten jedoch den Herstellern von Fingerabdrucksensoren dringend, das SDCP zu aktivieren und ihre Implementierungen durch unabhängige Dritte überprüfen zu lassen. Unklar bleibt, inwiefern Software-Updates die identifizierten Sicherheitsprobleme überhaupt beheben können.
Lösungsansätze
Es gibt heute diverse Authentifizierungslösungen, welche gegenüber biometrischen Lösungen einige Vorteile bieten. So sind zum Beispiel YubiKeys eine Möglichkeit, einigen Schwachstellen der biometrischen Authentifizierung erfolgreich entgegenzuwirken.
Hier sind einige Überlegungen, die bei einem Vergleich der Sicherheit beider Methoden berücksichtigt werden sollten:
- Sicherheit gegen physische Kopie: Fingerabdrücke können potenziell kopiert oder gefälscht werden, wenn ein Angreifer Zugriff auf einen physischen Abdruck hat. YubiKeys sind physische Geräte, die schwerer zu kopieren sind, da sie einzigartige kryptografische Schlüssel enthalten.
- Sicherheit gegenüber Remote-Angriffen: YubiKeys sind gegen Remote-Angriffe sehr sicher, da sie eine physische Interaktion für die Authentifizierung benötigen. Fingerabdrucksensoren können anfälliger für Remote-Angriffe sein, insbesondere wenn die Sensoren oder die damit verbundene Software Schwachstellen aufweisen.
- Datenschutz: Fingerabdrücke sind biometrische Daten, die einmal kompromittiert, nicht geändert werden können. YubiKeys speichern keine persönlichen Informationen und können bei Bedarf ausgetauscht werden.
- Benutzerfreundlichkeit: Fingerabdrücke bieten eine bequeme und schnelle Authentifizierungsmethode. YubiKeys erfordern das Mitführen eines physischen Geräts, was allerdings für manche Nutzer unpraktisch sein kann.
- Mehrfaktorauthentifizierung (MFA): YubiKeys bieten oft einen höheren Sicherheitsgrad, da sie als Teil einer Mehrfaktorauthentifizierung eingesetzt werden können, die etwas Besitzt (der YubiKey) und etwas Weißt (ein Passwort) kombiniert.
- Fehlerraten: Fingerabdruckscanner können manchmal falsche Ablehnungen oder falsche Akzeptanzen aufweisen, während YubiKeys in der Regel sehr zuverlässig sind, solange sie richtig konfiguriert sind.
Zusammenfassend bieten YubiKeys in vielen Szenarien eine höhere Sicherheit, insbesondere gegen Remote-Angriffe und im Kontext der Mehrfaktorauthentifizierung. Sie sind jedoch nicht so bequem wie biometrische Methoden. Es ist wichtig, die Sicherheitsanforderungen und Bedienfreundlichkeit zu bewerten, um die beste Methode für eine bestimmte Anwendung zu wählen.
Hier findest du weitere Informationen in Form eines Beitrags zu den YubiKeys.
Die Frage der Sicherheit
Die angesprochene Erkenntnisse werfen wichtige Fragen hinsichtlich der Zuverlässigkeit biometrischer Sicherheitssysteme auf und unterstreichen die Notwendigkeit einer ständigen Überprüfung und Verbesserung der Sicherheitsmechanismen in solchen Systemen. Es kann im Hinblick auf Sicherheitsüberlegungen durchaus sinnvoll sein, nach besseren Lösungen Ausschau zu halten. Oft erhöht auch die Kombination mehrerer Authentifizierungsverfahren die Sicherheit noch einmal nachhaltig.