Windows 10: Hello-Anmeldung ausgehebelt?

[English]Die Gesichtserkennung (Hello) unter Windows 10 scheint sich mit einem speziellen Papierausdruck aushebeln zu lassen. Das behaupten jedenfalls zwei Sicherheitsforscher.


Anzeige

Die Gesichtserkennung, die von US-Entwicklern in Produkten von Apple oder Microsoft integriert ist, scheint nicht das gelbe vom Ei zu sein. Konnte Apples FaceID von Zwillingen oder einer speziellen Maske überlistet werden, trifft es nun Microsoft. Windows Hello ist eine Funktion, um sich per Fingerabdruck-, Gesichts- oder Iriserkennung bei Windows 10-Geräten anzumelden (siehe).

Spoofing-Angriff gegen Hello

Im Rahmen eines Forschungsprojekts ist es den beiden IT-Sicherheitsexperten Matthias Deeg und Philipp Buchegger von der SySS GmbH gelungen, das biometrische Authentifizierungsverfahren Windows Hello Face Authentication mit einem Spoofing-Angriff zu umgehen. Das betrifft dabei bestimmte Windows 10-Versionen in Kombination mit der verwendeten Hardware (es gibt wohl Hardware mit Anti-Spoofing-Technik).

In diesem Blog-Beitrag schreiben die Sicherheitsforscher, dass für einen unautorisierten Zugriff lediglich ein spezieller Papierausdruck mit dem Gesicht einer berechtigten Person erforderlich sei. Dabei werden folgende Voraussetzungen angegeben:

  • Das Gesicht der Person wurde frontal fotografiert
  • Die Aufnahme der Person wurde im Nahinfrarotbereich erstellt
  • Helligkeit und Kontrast der Aufnahme wurden mit einfachen Mitteln verändert
  • Der Papierausdruck wurde mit einem Laserdrucker erzeugt

Laut den Sicherheitsforschern lässt sich mit solchen Papierausdrucken die Windows Hello Face Authentication erfolgreich umgehen. Dies sei in verschiedenen Versionen von Windows 10 mit unterschiedlichen Hard- und Softwarekonfigurationen gelungen.

Die IT-Sicherheitsexperten Matthias Deeg und Philipp Buchegger von der SySS GmbH konnten einen erfolgreichen Spoofing-Angriff gegen verschiedene Versionen des biometrischen Authentifizierungsverfahrens Windows Hello Face Authentication von Microsoft durchführen. Die folgende Tabelle zeigt die getesteten Varianten.

Getestete Windows-Versionen
(Quelle: syss.de, zum Vergrößern klicken)

Nach bisherigen Erkenntnissen sind nur die neueren Windows 10-Versionen 1703 und 1709 mit Nutzung der “Enhanced Anti-Spoofing”-Funktionalität und entsprechender Hardware nicht für den mit einem Papierausdruck getesteten Spoofing-Angriff anfällig.


Anzeige

Im Frühjahr 2018 wollen die beiden Sicherheitsforscher weitere Ergebnisse und Details ihres Forschungsprojekts veröffentlichen. Nachfolgendes Video demonstriert den Angriff. (via)


(Quelle: YouTube)

Ähnliche Artikel:
Windows 10: Unsicherer Passwort-Manager-App eingeschleust


Anzeige


Dieser Beitrag wurde unter Sicherheit, Windows 10 abgelegt und mit Sicherheit, Windows 10 verschlagwortet. Setze ein Lesezeichen auf den Permalink.

8 Antworten zu Windows 10: Hello-Anmeldung ausgehebelt?


  1. Anzeige
  2. Herr IngoW sagt:

    Nach 8 Werbeanzeigen (von denen drei doppelt waren) auf dieser Seite die ich erst entfernen muste konnte ich dann den Artikel lesen.
    Der Artikel ist sehr interessant, das soll mit so einem schlechten Foto funktionieren.

    • Günter Born sagt:

      Auf Dubletten habe ich keinen Einfluss. Popup oder Pop-under etc. sollten keine Auftreten. Und wenn ich die Seite aufrufe, werden Anzeigen teilweise durch Platzhalter ersetzt – ist so eingestellt. Wäre gut, einen Screenshot zu schicken – damit ich mir die Sache ansehen kann. Aktuell werden bei mir zwischen 1 und 2 Anzeigen ausgerollt (der Rest enthält nur Platzhalter) – und lesen lässt sich der Text hier im Chrome ohne Werbeblocker auch.

      • Herr IngoW sagt:

        Ok der Text ist lesbar, ich möchte bei dir keinen Werbeblocker nehmen denn die Beiträge sind gut. Die Werbung ist mir halt im Moment zu viel und zu Nervig (Bewegte Bilder usw.).
        Ich nehme meistens die Browser von MS, reicht mir aus, manchmal den FF-Portable. Auch Werbeblocker sind im Einsatz, denn manche Seiten sind ohne Werbeblocker fast unlesbar geworden und brauchen ewig bis sie geladen sind (die Seite lässt sich nicht bewegen).
        E-Mail mit Screenshots ist unterwegs.

        • Günter Born sagt:

          Ich habe dir ja schon geantwortet. Ich muss mir das Ganze in Ruhe anschauen und weiter optimieren. Möglicherweise komme ich mit dem zweiten Werbeanbieter, den ich seit kurzem mit drin habe, da besser hin.

  3. Michael sagt:

    Da möchte ich gerne mal folgenden Artikel als Gegendarstellung anführen:
    https://windowsarea.de/2017/12/windows-hello-gesichtserkennung-foto-trick/

    In beiden Artikeln ist korrekt ausgeführt, dass die Versionen 1703 und 1709 mit aktiviertem “Enhanced Anti-Spoofing” nicht mehr anfällig sind. Gemäß des von mir verlinkten Artikels ist diese Funktion jedoch standardmäßig aktiviert, so dass diese Versionen ohne Fahrlässigkeit der Anwender nicht mehr anfällig ist.
    Weiterhin muss ich dem verlinkten Artikel zustimmen, dass es über ein Jahr gedauert hat, einen Angriff auf eine veraltete Softwareversion zu finden. So schlecht kann die Gesichtserkennung also nicht sein. Erst recht, wenn man sich die Alternativen ansieht.

  4. Anzeige

  5. Hans-Günter sagt:

    Wenn ich mir die Voraussetzungen anschaue, ist das doch ohnehin eher eine theoretische Angriffsmöglichkeit, oder?

    – Das Gesicht der Person wurde frontal fotografiert
    – Die Aufnahme der Person wurde im Nahinfrarotbereich erstellt

    • Günter Born sagt:

      Hintergrund solcher Blog-Beiträge ist es ja, die Sensibilität gegenùber solchen Fällen zu schärfen. Der typische Nutzer geht doch davon aus, dass es sicher ist. Bis dann das Kind in den Brunnen gefallen ist – ‘hätten wir das doch nur geahnt’.

  6. Herr IngoW sagt:

    Ich denke die Windows-Hello-Anmeldung mit der Gesichtserkennung ist wesentlich sicherer als die Lösung von den Mitbewerbern die ja wohl schon mit normalen Bildern bzw. mit zwei ähnlich aussehenden Personen ausgetrickst wurden.
    Und da es in den neueren Versionen (1703/1709) wie es aussieht nicht geht ist MS wohl auf einen guten weg.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.