Das Microsoft Windows Hello-Authentifizierungssystem ist mit Webcams verschiedener Hersteller kompatibel und macht die Verwendung so einfach wie möglich. Diese Vielseitigkeit kann die Technologie jedoch weniger sicher gegen Angreifer machen. Davon waren Experten der Firma CyberArk überzeugt, denen es gelang, Windows Hello mit einem Gesichtsbild des Computerbesitzers zu täuschen.
Windows Hello ist mit einer Vielzahl von Webcams kompatibel, die über einen RGB- oder Infrarotsensor verfügen. Bei der Recherche wurde festgestellt, dass das System während des Authentifizierungsprozesses nur Infrarot-Frames verarbeitet. Um diese Annahme zu testen, stellten die Forscher ein spezielles USB-Gerät her, in das sie Infrarotfotos des Laptopbesitzers und RGB-Bilder der Zeichentrickfigur SpongeBob luden. Nach der Verbindung erkannte Windows Hello das Gerät als USB-Kamera und der Computer wurde mithilfe eines Infrarotfotos erfolgreich entsperrt.
Es ist erwähnenswert, dass es äußerst schwierig sein wird, den Computer einer Person mit dieser Technik zu hacken, da dies erfordert, ein Infrarotfoto des Besitzers des Geräts zu erhalten. Dies ist jedoch immer noch eine Sicherheitslücke von Windows Hello, die theoretisch von Angreifern ausgenutzt werden könnte. Microsoft hat bereits einen Fix für das, was das Unternehmen als "Hello Security Feature Bypass-Schwachstelle" bezeichnet, veröffentlicht. Microsoft bietet auch Windows Hello Enhanced Sign-in Security, das das Gesicht des Benutzers verschlüsselt und in einem separaten sicheren Bereich speichert.
2021-07-18 10:23:23
Autor: Vitalii Babkin