Laut Neowin gab das Blackwell Intelligence-Team seine Erkenntnisse bereits im Oktober auf Microsofts BlueHat-Sicherheitskonferenz bekannt, veröffentlichte sie aber erst diese Woche auf seiner Website. Im Blogbeitrag mit dem Titel „A Touch of Pwn“ heißt es, das Team habe Fingerabdrucksensoren in Dell Inspiron 15- und Lenovo ThinkPad T14-Laptops sowie in Microsoft Surface Pro Type Covers mit Fingerprint ID für Surface Pro 8 und X verwendet. Die spezifischen Fingerabdrucksensoren wurden von Goodix, Synaptics und ELAN hergestellt.
Blackwell benötigte etwa drei Monate Forschung, um eine Sicherheitslücke in Windows Hello zu entdecken.
Alle von uns getesteten Windows Hello-fähigen Fingerabdrucksensoren verwenden chipbasierte Hardware, d. h. die Authentifizierung erfolgt auf dem Sensor selbst, der über einen eigenen Chip und Speicher verfügt.
In seiner Erklärung erklärte Blackwell, dass die Datenbank mit den „Fingerabdruckvorlagen“ (biometrische Daten, die vom Fingerabdrucksensor erfasst werden) auf dem Chip gespeichert sei und die Registrierung und der Abgleich direkt auf dem Chip erfolgten. Da die Fingerabdruckvorlagen den Chip nie verlassen, sind Datenschutzbedenken ausgeschlossen, da die biometrischen Daten sicher gespeichert sind. Dies verhindert auch Angriffe, bei denen gültige Fingerabdruckbilder zum Abgleich an einen Server gesendet werden.
Blackwell gelang es jedoch, das System zu umgehen. Er nutzte Reverse Engineering, um Schwachstellen in Fingerabdrucksensoren zu finden und entwickelte anschließend ein eigenes USB-Gerät, das einen Man-in-the-Middle-Angriff (MitM) durchführen konnte. Mit diesem Gerät konnte die Gruppe die Fingerabdruck-Authentifizierungshardware in diesen Geräten umgehen.
Blackwell erklärte außerdem, dass Microsoft zwar das Secure Device Connection Protocol (SDCP) für einen sicheren Kanal zwischen Server und biometrischem Gerät nutzt, bei zwei der drei getesteten Fingerabdrucksensoren SDCP jedoch gar nicht aktiviert war. Blackwell empfiehlt allen Herstellern von Fingerabdrucksensoren, SDCP nicht nur auf ihren Produkten zu aktivieren, sondern die Funktion auch von einem Drittanbieter überprüfen zu lassen.
Bemerkenswert ist, dass Blackwell etwa drei Monate damit verbrachte, diese Fingerabdruck-Hardwareprodukte zu überwinden. Es ist unklar, wie Microsoft und andere Hersteller von Fingerabdrucksensoren das Problem auf der Grundlage dieser Forschung lösen werden.
[Anzeige_2]
Quellenlink
![[Foto] Das Politbüro arbeitet mit den ständigen Ausschüssen der Parteikomitees der Provinzen Lang Son und Bac Ninh zusammen](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/8/20/0666629afb39421d8e1bd8922a0537e6)
![[Foto] Premierminister Pham Minh Chinh empfängt die australische Außenministerin Penny Wong](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/8/20/f5d413a946444bd2be288d6b700afc33)
Kommentar (0)