Laut Neowin präsentierte das Team von Blackwell Intelligence seine Ergebnisse bereits im Oktober auf Microsofts Sicherheitskonferenz BlueHat, veröffentlichte sie aber erst diese Woche auf seiner Website. In dem Blogbeitrag mit dem Titel „A Touch of Pwn“ beschreibt das Team, wie es Fingerabdrucksensoren in Dell Inspiron 15- und Lenovo ThinkPad T14-Laptops sowie Microsoft Surface Pro Type Covers mit Fingerabdruck-ID für das Surface Pro 8 und X nutzte. Die verwendeten Fingerabdrucksensoren stammten von den Herstellern Goodix, Synaptics und ELAN.
Blackwell benötigte etwa drei Monate Recherche, um eine Sicherheitslücke in Windows Hello zu entdecken.
Alle von uns getesteten Windows Hello-fähigen Fingerabdrucksensoren verwenden chipbasierte Hardware, was bedeutet, dass die Authentifizierung auf dem Sensor selbst erfolgt, der über einen eigenen Chip und Speicher verfügt.
In seiner Stellungnahme erklärte Blackwell, dass die Datenbank mit den „Fingerabdruckvorlagen“ (den vom Fingerabdrucksensor erfassten biometrischen Daten) auf dem Chip gespeichert sei und die Registrierung und der Abgleich direkt auf dem Chip erfolgten. Da die Fingerabdruckvorlagen den Chip nie verlassen, werden Datenschutzbedenken ausgeräumt, da die biometrischen Daten sicher gespeichert werden. Dies verhindert auch Angriffe, bei denen gültige Fingerabdruckbilder zum Abgleich an einen Server gesendet werden.
Blackwell gelang es jedoch, das System zu umgehen, indem er mittels Reverse Engineering Schwachstellen in Fingerabdrucksensoren aufspürte und anschließend ein eigenes USB-Gerät entwickelte, das einen Man-in-the-Middle-Angriff (MitM) ermöglichte. Mit diesem Gerät konnte die Gruppe die Fingerabdruck-Authentifizierungshardware dieser Geräte umgehen.
Laut Blackwell nutzt Microsoft zwar das Secure Device Connection Protocol (SDCP) für eine sichere Verbindung zwischen Server und biometrischem Gerät, doch bei zwei der drei getesteten Fingerabdrucksensoren war SDCP nicht aktiviert. Blackwell empfiehlt daher allen Herstellern von Fingerabdrucksensoren, SDCP nicht nur in ihren Produkten zu aktivieren, sondern die Funktionsfähigkeit auch von einem unabhängigen Unternehmen überprüfen zu lassen.
Bemerkenswert ist, dass Blackwell etwa drei Monate damit verbrachte, diese Fingerabdruck-Hardwareprodukte zu umgehen. Es ist unklar, wie Microsoft und andere Hersteller von Fingerabdrucksensoren das Problem auf Grundlage dieser Forschungsergebnisse lösen wollen.
Quellenlink
![[Foto] Wir brauchen dringend Hilfe, damit diese Menschen schnellstmöglich eine Unterkunft finden und ihr Leben stabilisieren können.](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F12%2F09%2F1765248230297_c-jpg.webp&w=3840&q=75)
![[Foto] Generalsekretär To Lam arbeitet mit den Ständigen Ausschüssen der Unterausschüsse des 14. Parteitags zusammen.](https://vphoto.vietnam.vn/thumb/402x226/vietnam/resource/IMAGE/2025/12/09/1765265023554_image.jpeg)
Kommentar (0)