Gesichtserkennung von Windows 10 mit Papierausdruck reingelegt
Sicherheitsforscher haben Windows Hello erfolgreich ausgetrickst und sich an damit gesicherten Computern angemeldet. Das funktioniert aber nur mit bestimmten Hard- und Softwarekonstellationen.
Microsofts biometrisches Anmeldeverfahren Windows Hello ist unsicher. Der Ansatz kommt bei Windows 10 zum Einsatz und Nutzer können sich per Gesichtserkennung an Geräten anmelden. Sicherheitsforscher von SySS zeigen, wie sie das Verfahren mit einem auf Papier ausgedruckten Gesicht einer berechtigten Person erfolgreich umgehen – das klappt aber nicht immer.
Damit der Spoofing-Angriff funktioniert, muss das ausgedruckte Gesicht diverse Kriterien erfüllen: Zum Beispiel muss der Ausdruck mit einem Laserdrucker erfolgen und die Aufnahme muss im Nahinfrarotbereich erstellt worden sein. In ihrem Beispiel kommt ein präpariertes Foto mit einer Auflösung von lediglich 340 x 340 Pixeln zum Einsatz.
Spoof-Angriff nicht immer erfolgreich
Windows 10 greift bei der Gesichtserkennung auf eine Nahinfrarotkamera zurück. Bei einiger Hardware stehen darüber hinaus noch Infos einer RGB-Kamera bereit. Das Anmeldeverfahren gibt es für verschiedene Geräte wie Laptops und Smartphones. Die Sicherheitsforscher griffen für ihre Tests auf ein Dell Latitude E7470 mit einer USB-Kamera von LilBit und ein Surface Pro 4 zurück.
Auf dem Dell-Laptop konnten Sie Windows 10 in diversen Builds der Versionen 1511, 1607, 1703 und dem aktuellen Fall Creators Update 1709 erfolgreich mit ihrem Trick entsperren. Beim Surface Pro 4 klappte das mit der aktuellen Version von Windows 10 nur, wenn die zusätzliche Schutzfunktion "Enhanced Anti-Spoofing" deaktiviert war. Diese Funktion steht nur auf bestimmter Hardware zur Verfügung.
Doch mit Windows 10 1607 Build 14393.1914 konnten die Sicherheitsforscher das Surface Pro 4 trotz aktivierter Enhanced-Anti-Spoofing-Technik entsperren. Offensichtlich hat Microsoft diesen Schutz in aktuelleren Windows-Versionen nachgebessert.
Nicht alle Geräte sicher
Nach jetzigem Kenntnisstand sind Nutzer von Windows Hello nur sicher, wenn sie Windows 10 1709 auf einem Gerät einsetzen, das Enhanced Anti-Spoofing unterstützt. Zudem sollte man das Authentifizierungsverfahren nach einer Aktualisierung auf die aktuelle Ausgabe von Windows 10 neu einrichten, raten die Sicherheitsforscher.
Im Frühjahr 2018 wollen sie weitere Details zur ihrem Angriff und Varianten davon veröffentlichen. (des)