Sicherheits-Check findet gravierende Fehler
Windows Touch-ID: Hersteller-Integration mit massiven Schwachstellen
Apple hat zwar kein Monopol auf das Entsperren von Geräten mit dem Fingerabdruck, wie es scheint, leben Apple-Nutzer damit aber ein ganzes Stück sicherer, als dies unter Windows der Fall ist. Sicherheitsforscher haben auf Notebooks von Lenovo und Dell sowie auf einem Microsoft Surface Pro eklatante Schwachstellen im Zusammenhang mit den darin verbauten Fingerabdrucksensoren nachgewiesen.
Die Sicherheitsforscher von Blackwing Intelligence haben die Untersuchung im Auftrag von Microsofts Sicherheitsteam MORSE durchgeführt und dabei gleich mehrere Schwachstellen aufgedeckt, mit deren Hilfe sie die „Windows Hello“-Anmeldung auf allen drei Geräten umgehen konnten.
Bei den untersuchten Geräten handelt es sich um Notebooks vom Typ Dell Inspiron 15 und Lenovo ThinkPad T14 sowie die Microsoft-Tastatur „Surface Pro Type Cover“, deren Fingerabdruck-Technologie laut Microsoft nicht nur für mehr Komfort, sondern insbesondere auch für ein Plus an Sicherheit sorgen soll.
System gut – Umsetzung schlecht
Wenn man den getesteten Touch-ID-Systemen etwas zugute halten will, dann muss man die Tatsache erwähnen, dass sich der Hack nicht mal eben aus dem Ärmel schütteln ließ, sondern drei Monate Forschungsarbeit in Anspruch genommen hat. Allerdings hilft dies angesichts des abschließenden Erfolgs des „Angriffs“ nichts, denn die Arbeit resultierte den Sicherheitsforschern zufolge in drei absolut zuverlässigen Wegen, um die Authentifizierung mit Windows Hello zu umgehen.
Die Schwachstellen seien allerdings nicht der Software-Implementierung von Microsoft, sondern vielmehr der Umsetzung durch die Gerätehersteller geschuldet. Microsoft selbst habe bei der Entwicklung des zugrundeliegenden Secure Device Connection Protocol (SDCP) sehr gute Arbeit geleistet.
Die gute Nachricht für Windows-Nutzer ist dementsprechend, dass derartige Untersuchungen dazu führen sollten, dass die Implementierung der softwareseitig vorgesehenen Sicherheitsfunktionen durch Drittanbieter zukünftig ernster genommen und dann hoffentlich auch die Sicherheit bietet, die damit assoziiert wird.
Wie schön es doch ist, wenn alles mit allem kompatibel ist und man sich nicht in einem goldenen Käfig befindet.
Sicherheit ernst nehmen ist auch so ein Wunschdenken des Anwenders…
Das nervigste ist das man einen PIN vergeben muss und da sehe ich auch eine Schwachstelle, weil da viele eine vierstellige Zahlenkombination nutzen. Aber man kann Hello ja nicht ohne PIN nutzen. Zumindest mein letzter Stand…
Man kann aber auch Buchstaben und Zahlen eingeben und auch das limit von vier zahlen kann mann erweitern
Frau aber auch
@KaroX
Man:innen?
Auch wenn ich normalerweise das Thread mit solchen Schwachsinn nicht voll mache, kommt mir der Gedanke: „Wieviele Kinder im vorschulalter sind hier?“
FaceiD braucht aber auch immer eine PIN…
Auch hier kann ein alphanumerischer Code verheben werden.
Und, gibt es jetzt eine Lösung zu diesem Problem?
Lies den Artikel nochmal (ganz).
Oh nein. Ich sehe schon wie mein AG die Funktion wieder entfernt. :(
Wäre konsequent – alles andere wäre fahrlässig.
Hoffentlich mach das mein Cb und der QS nicht….
Hat man bei uns (sicherlich aus solche. Gründen schon vor Monaten) …
*solchen
Also auch die Hardwareimplementierung seitens Microsoft beim Surface.
Naja bei Apple Geräten auch möglich.
Nichts ist sicher.
Hast Du Beispiele zur Hand, wem es gelungen ist, TouchID zu knacken?
Davon abgesehen ist Sicherheit einer Maßnahme immer relativ zu anderen zu sehen, weil es absolute Sicherheit nicht gibt, und bei dem Vergleich steht z.B. FaceID besser da als die Samsungimplementierung.
War doch mal der CCC, die halt einen Fingerabdruck von einem Glas abgenommen haben und in ein „Fingermodell“ erstellt haben. Ob das aktuell noch so geht, keine Ahnung, der Aufwand war schon recht hoch – deine Haustür ist einfacher zu knacken
So so … weil es eine Schwachstelle bei der Hardware-Implementierung von Fingerabdrucksensoren bei einigen Laptop-Herstellern gibt, lebt man als Apple-Nutzer automatisch sicherer? Eigenartige Schlussfolgerung! Sicherheitszuckerwatte aus der Hölle.
Was soll an einem Fingerabdruck denn sicher sein?