Sicherheitslücke ermöglicht PC-Zugriff ohne Fingerabdruck

Laut Neowin gab das Blackwell Intelligence-Team seine Ergebnisse bereits im Oktober auf Microsofts BlueHat-Sicherheitskonferenz bekannt, veröffentlichte sie aber erst diese Woche auf seiner Website. Im Blogbeitrag mit dem Titel „A Touch of Pwn“ heißt es, das Team habe Fingerabdrucksensoren in Dell Inspiron 15- und Lenovo ThinkPad T14-Laptops sowie in Microsoft Surface Pro Type Covers mit Fingerabdruck-ID für Surface Pro 8 und X verwendet. Die spezifischen Fingerabdrucksensoren wurden von Goodix, Synaptics und ELAN hergestellt.

Alle von uns getesteten Windows Hello-fähigen Fingerabdrucksensoren verwenden chipbasierte Hardware, d. h. die Authentifizierung erfolgt auf dem Sensor selbst, der über einen eigenen Chip und Speicher verfügt.

In seiner Erklärung erklärte Blackwell, dass die Datenbank mit den „Fingerabdruckvorlagen“ (biometrische Daten, die vom Fingerabdrucksensor erfasst werden) auf dem Chip gespeichert sei und die Registrierung und der Abgleich direkt auf dem Chip erfolgten. Da die Fingerabdruckvorlagen den Chip nie verlassen, werden Datenschutzbedenken ausgeräumt, da die biometrischen Daten sicher gespeichert sind. Dies verhindert auch Angriffe, bei denen gültige Fingerabdruckbilder zum Abgleich an einen Server gesendet werden.

Blackwell gelang es jedoch, das System zu umgehen. Er nutzte Reverse Engineering, um Schwachstellen in Fingerabdrucksensoren zu finden und entwickelte anschließend ein eigenes USB-Gerät, das einen Man-in-the-Middle-Angriff (MitM) durchführen konnte. Mit diesem Gerät konnte die Gruppe die Fingerabdruck-Authentifizierungshardware in diesen Geräten umgehen.

Blackwell erklärte außerdem, dass Microsoft zwar das Secure Device Connection Protocol (SDCP) für einen sicheren Kanal zwischen Server und biometrischem Gerät nutzt, SDCP jedoch bei zwei der drei getesteten Fingerabdrucksensoren nicht aktiviert war. Blackwell empfiehlt allen Herstellern von Fingerabdrucksensoren, SDCP nicht nur auf ihren Produkten zu aktivieren, sondern die Funktion auch durch ein Drittunternehmen sicherstellen zu lassen.

Bemerkenswert ist, dass Blackwell etwa drei Monate lang daran arbeitete, diese Fingerabdruck-Hardwareprodukte zu überwinden. Es ist unklar, wie Microsoft und andere Hersteller von Fingerabdrucksensoren das Problem auf der Grundlage dieser Forschung lösen werden.