[English]Die Gesichtserkennung (Hello) unter Windows 10 scheint sich mit einem speziellen Papierausdruck aushebeln zu lassen. Das behaupten jedenfalls zwei Sicherheitsforscher.
Anzeige
Die Gesichtserkennung, die von US-Entwicklern in Produkten von Apple oder Microsoft integriert ist, scheint nicht das gelbe vom Ei zu sein. Konnte Apples FaceID von Zwillingen oder einer speziellen Maske überlistet werden, trifft es nun Microsoft. Windows Hello ist eine Funktion, um sich per Fingerabdruck-, Gesichts- oder Iriserkennung bei Windows 10-Geräten anzumelden (siehe).
Spoofing-Angriff gegen Hello
Im Rahmen eines Forschungsprojekts ist es den beiden IT-Sicherheitsexperten Matthias Deeg und Philipp Buchegger von der SySS GmbH gelungen, das biometrische Authentifizierungsverfahren Windows Hello Face Authentication mit einem Spoofing-Angriff zu umgehen. Das betrifft dabei bestimmte Windows 10-Versionen in Kombination mit der verwendeten Hardware (es gibt wohl Hardware mit Anti-Spoofing-Technik).
In diesem Blog-Beitrag schreiben die Sicherheitsforscher, dass für einen unautorisierten Zugriff lediglich ein spezieller Papierausdruck mit dem Gesicht einer berechtigten Person erforderlich sei. Dabei werden folgende Voraussetzungen angegeben:
- Das Gesicht der Person wurde frontal fotografiert
- Die Aufnahme der Person wurde im Nahinfrarotbereich erstellt
- Helligkeit und Kontrast der Aufnahme wurden mit einfachen Mitteln verändert
- Der Papierausdruck wurde mit einem Laserdrucker erzeugt
Laut den Sicherheitsforschern lässt sich mit solchen Papierausdrucken die Windows Hello Face Authentication erfolgreich umgehen. Dies sei in verschiedenen Versionen von Windows 10 mit unterschiedlichen Hard- und Softwarekonfigurationen gelungen.
Die IT-Sicherheitsexperten Matthias Deeg und Philipp Buchegger von der SySS GmbH konnten einen erfolgreichen Spoofing-Angriff gegen verschiedene Versionen des biometrischen Authentifizierungsverfahrens Windows Hello Face Authentication von Microsoft durchführen. Die folgende Tabelle zeigt die getesteten Varianten.
(Quelle: syss.de, zum Vergrößern klicken)
Nach bisherigen Erkenntnissen sind nur die neueren Windows 10-Versionen 1703 und 1709 mit Nutzung der "Enhanced Anti-Spoofing"-Funktionalität und entsprechender Hardware nicht für den mit einem Papierausdruck getesteten Spoofing-Angriff anfällig.
Im Frühjahr 2018 wollen die beiden Sicherheitsforscher weitere Ergebnisse und Details ihres Forschungsprojekts veröffentlichen. Nachfolgendes Video demonstriert den Angriff. (via)
Anzeige
(Quelle: YouTube)
Ähnliche Artikel:
Windows 10: Unsicherer Passwort-Manager-App eingeschleust
Nach 8 Werbeanzeigen (von denen drei doppelt waren) auf dieser Seite die ich erst entfernen muste konnte ich dann den Artikel lesen.
Der Artikel ist sehr interessant, das soll mit so einem schlechten Foto funktionieren.
Auf Dubletten habe ich keinen Einfluss. Popup oder Pop-under etc. sollten keine Auftreten. Und wenn ich die Seite aufrufe, werden Anzeigen teilweise durch Platzhalter ersetzt – ist so eingestellt. Wäre gut, einen Screenshot zu schicken – damit ich mir die Sache ansehen kann. Aktuell werden bei mir zwischen 1 und 2 Anzeigen ausgerollt (der Rest enthält nur Platzhalter) – und lesen lässt sich der Text hier im Chrome ohne Werbeblocker auch.
Ok der Text ist lesbar, ich möchte bei dir keinen Werbeblocker nehmen denn die Beiträge sind gut. Die Werbung ist mir halt im Moment zu viel und zu Nervig (Bewegte Bilder usw.).
Ich nehme meistens die Browser von MS, reicht mir aus, manchmal den FF-Portable. Auch Werbeblocker sind im Einsatz, denn manche Seiten sind ohne Werbeblocker fast unlesbar geworden und brauchen ewig bis sie geladen sind (die Seite lässt sich nicht bewegen).
E-Mail mit Screenshots ist unterwegs.
Ich habe dir ja schon geantwortet. Ich muss mir das Ganze in Ruhe anschauen und weiter optimieren. Möglicherweise komme ich mit dem zweiten Werbeanbieter, den ich seit kurzem mit drin habe, da besser hin.
Da möchte ich gerne mal folgenden Artikel als Gegendarstellung anführen:
https://windowsarea.de/2017/12/windows-hello-gesichtserkennung-foto-trick/
In beiden Artikeln ist korrekt ausgeführt, dass die Versionen 1703 und 1709 mit aktiviertem "Enhanced Anti-Spoofing" nicht mehr anfällig sind. Gemäß des von mir verlinkten Artikels ist diese Funktion jedoch standardmäßig aktiviert, so dass diese Versionen ohne Fahrlässigkeit der Anwender nicht mehr anfällig ist.
Weiterhin muss ich dem verlinkten Artikel zustimmen, dass es über ein Jahr gedauert hat, einen Angriff auf eine veraltete Softwareversion zu finden. So schlecht kann die Gesichtserkennung also nicht sein. Erst recht, wenn man sich die Alternativen ansieht.
Wenn ich mir die Voraussetzungen anschaue, ist das doch ohnehin eher eine theoretische Angriffsmöglichkeit, oder?
– Das Gesicht der Person wurde frontal fotografiert
– Die Aufnahme der Person wurde im Nahinfrarotbereich erstellt
Hintergrund solcher Blog-Beiträge ist es ja, die Sensibilität gegenùber solchen Fällen zu schärfen. Der typische Nutzer geht doch davon aus, dass es sicher ist. Bis dann das Kind in den Brunnen gefallen ist – 'hätten wir das doch nur geahnt'.
Ich denke die Windows-Hello-Anmeldung mit der Gesichtserkennung ist wesentlich sicherer als die Lösung von den Mitbewerbern die ja wohl schon mit normalen Bildern bzw. mit zwei ähnlich aussehenden Personen ausgetrickst wurden.
Und da es in den neueren Versionen (1703/1709) wie es aussieht nicht geht ist MS wohl auf einen guten weg.