Windows Hello lässt sich angeblich mit speziellem Foto austricksen
Die Gesichtserkennung mit Windows Hello in Windows 10 lässt sich mit einem speziell angefertigten und nachbearbeiteten Foto austricksen. Das behaupten zwei Sicherheitsforscher. Wie der erfolgreiche Angriff grundsätzlich funktioniert, erklären sie schon jetzt, Details wollen sie allerdings erst im Frühjahr 2018 veröffentlichen.
Matthias Deeg und Philipp Buchegger, die als Security-Experten bei der SySS GmbH arbeiten, haben nach eigenen Angaben die Gesichtserkennung von Windows Hello ausgetrickst. Dafür benötigten sie ein Foto einer bereits zuvor erfolgreich registrierten Person, welches folgende Merkmale erfüllt:
- Das Gesicht der Person wurde frontal fotografiert
- Die Aufnahme der Person wurde im Nahinfrarotbereich erstellt
- Helligkeit und Kontrast der Aufnahme wurden mit einfachen Mitteln verändert
- Der Papierausdruck wurde mit einem Laserdrucker erzeugt
Unter diesen Voraussetzungen war eine erfolgreiche Anmeldung möglich, in dem der Ausdruck des Fotos vor die Kamera gehalten wurde. Für den Test wurden ein Microsoft Surface Pro 4 und ein Dell Latitude E7470 verwendet, entsprechende Demo-Videos findet ihr am Ende des Beitrags.
Die gute Nachricht: Unter Windows 10 Version 1703 (Creators Update) und 1709 (Fall Creators Update) funktioniert dieser Bypass nicht, sofern die Funktion „Enhanced Anti-Spoofing“ aktiviert wurde, was standardmäßig der Fall ist. In älteren Windows 10-Versionen kann auch Enhanced Anti-Spoofing den erfolgreichen Angriff nicht verhindern.
In einer Sicherheits-Empfehlung, die hierzu veröffentlicht wurde, raten die Entdecker folgerichtig dazu, Windows Hello nur unter den Windows 10 Versionen 1703 und 1709 mit aktiviertem „Enhanced Anti-Spoofing“ zu betreiben. Sofern man ein Update von einer älteren Version auf eine der beiden Editionen vorgenommen hat, soll man Windows Hello deaktivieren und neu einrichten.
Microsoft wurde im Oktober über den Fall informiert und seitdem gab es laut SySS auch einen regen Austausch, mehr gibt es dazu allerdings nicht zu erfahren. Es wird auch nicht begründet, warum man das Verfahren jetzt öffentlich macht – stattdessen verweist ein Blogbeitrag auf das Frühjahr 2018 – dann will man weitere Details offenlegen. Ob Microsoft in irgendeiner Weise mit einem Patch reagieren kann, ist demnach derzeit auch unbekannt.
Nachdem es in der Vergangenheit schon viele vergebliche Versuche gab, Windows Hello zu überlisten, bin ich ein wenig geschockt, dass es möglich ist, die Technologie mit einem „toten Gegenstand“ auszutricksen. Auch wenn es nur sehr schwer möglich sein dürfte, ein passendes Foto der Person, deren PC man übernehmen möchte, unbemerkt aufzunehmen, das darf natürlich nicht sein.
Themen:
- Sicherheit
- Windows 10
Über den Autor
Martin Geuß
Ich bin Martin Geuß, und wie unschwer zu erkennen ist, fühle ich mich in der Windows-Welt zu Hause. Seit mehr als 17 Jahren lasse ich die Welt an dem teilhaben, was mir zu Windows und anderen Microsoft-Produkten durch den Kopf geht, und manchmal ist das sogar interessant. Das wichtigste Motto meiner Arbeit lautet: Von mir - für Euch!