logistic ready

Fachportal für Intralogistik

Auf Laptops wird die Windows Hello-Fingerabdruckauthentifizierung umgangen

Auf Laptops wird die Windows Hello-Fingerabdruckauthentifizierung umgangen

Sicherheitsforscher in Blackwing-Geheimdienstein Anbieter von Sicherheitsforschungs- und Ingenieurdienstleistungen, und Offensive Forschung und Sicherheitstechnik (Morse), ja Microsoft,prüfen Fingerabdrucksensoren Verwende nicht Windows Hallo Auf drei beliebten Laptops und auf jedem Gerät gelang es ihnen, eine Möglichkeit zu finden, dies zu tun Authentifizierung umgehen.

Die drei bei der Untersuchung verwendeten Laptops waren dieselben Tal ichNespiron 15 Mit Goodix Fingerabdrucksensor, a Lenovo ThinkPad T14s Mit Synaptics-Sensor und Microsoft Surface Pro Mit ELAN-Sensor.

Sowohl eingebettete als auch Host-Fingerabdrucksensoren wurden zum Ziel von Software- und Hardware-Angriffen. Alle getesteten Sensoren sind Match-on-Chip-Sensoren, was bedeutet, dass der Chip einen Mikroprozessor und einen Speicher enthält und die Fingerabdruckdaten den Sensor nie verlassen. Auf diese Weise muss der Chip selbst angegriffen werden, um die Authentifizierung zu umgehen.

Darüber hinaus erfordert der Angriff physischen Zugriff auf das Zielgerät, was bedeutet, dass der Angreifer Ausrüstung stehlen oder auf die Methode der „bösen Magd“ zurückgreifen muss.

Die von Sicherheitsforschern getesteten Angriffe wurden durch den Anschluss des Hackergeräts an Laptops, über USB oder durch den Anschluss des Fingerabdrucksensors an speziell dafür hergestellte Geräte durchgeführt.

Bei Tests auf Dell- und Lenovo-Laptops wurde die Windows Hello-Fingerabdruckauthentifizierung umgangen, indem gültige IDs, die mit dem Fingerabdruck des Benutzers verknüpft waren, aufgezählt und der Fingerabdruck des Angreifers aufgezeichnet wurden, wodurch die Identität des Benutzers legal vorgetäuscht wurde.

Im Fall des Surface musste der Angreifer das Type Cover – das im Wesentlichen die Tastatur darstellt und den Fingerabdrucksensor enthält – abnehmen und ein USB-Gerät anschließen, das den Fingerabdrucksensor nachahmen konnte, um dem System mitzuteilen, dass ein autorisierter Benutzer signierte hoch. In.

Siehe auch  Weitere 150 bösartige Android-Apps wurden von Google aus dem Play Store entfernt