Laut Neowin gab das Blackwell Intelligence-Team seine Erkenntnisse bereits im Oktober auf Microsofts BlueHat-Sicherheitskonferenz bekannt, veröffentlichte sie aber erst diese Woche auf seiner Website. Im Blogbeitrag mit dem Titel „A Touch of Pwn“ heißt es, das Team habe Fingerabdrucksensoren in Dell Inspiron 15- und Lenovo ThinkPad T14-Laptops sowie in Microsoft Surface Pro Type Covers mit Fingerprint ID für Surface Pro 8 und X verwendet. Die spezifischen Fingerabdrucksensoren wurden von Goodix, Synaptics und ELAN hergestellt.
Blackwell benötigte etwa drei Monate Forschung, um eine Sicherheitslücke in Windows Hello zu entdecken.
Alle von uns getesteten Windows Hello-fähigen Fingerabdrucksensoren verwenden chipbasierte Hardware, d. h. die Authentifizierung erfolgt auf dem Sensor selbst, der über einen eigenen Chip und Speicher verfügt.
In seiner Erklärung erklärte Blackwell, dass die Datenbank mit den „Fingerabdruckvorlagen“ (biometrische Daten, die vom Fingerabdrucksensor erfasst werden) auf dem Chip gespeichert sei und die Registrierung und der Abgleich direkt auf dem Chip erfolgten. Da die Fingerabdruckvorlagen den Chip nie verlassen, sind Datenschutzbedenken ausgeschlossen, da die biometrischen Daten sicher gespeichert sind. Dies verhindert auch Angriffe, bei denen gültige Fingerabdruckbilder zum Abgleich an einen Server gesendet werden.
Blackwell gelang es jedoch, das System zu umgehen. Er nutzte Reverse Engineering, um Schwachstellen in Fingerabdrucksensoren zu finden und entwickelte anschließend ein eigenes USB-Gerät, das einen Man-in-the-Middle-Angriff (MitM) durchführen konnte. Mit diesem Gerät konnte die Gruppe die Fingerabdruck-Authentifizierungshardware in diesen Geräten umgehen.
Laut Blackwell nutzt Microsoft zwar das Secure Device Connection Protocol (SDCP), um einen sicheren Kanal zwischen Server und biometrischem Gerät bereitzustellen, doch bei zwei der drei getesteten Fingerabdrucksensoren war SDCP nicht aktiviert. Blackwell empfiehlt allen Herstellern von Fingerabdrucksensoren, SDCP nicht nur auf ihren Produkten zu aktivieren, sondern die Funktion auch durch ein Drittunternehmen sicherstellen zu lassen.
Bemerkenswert ist, dass Blackwell etwa drei Monate damit verbracht hat, diese Fingerabdruck-Hardwareprodukte zu umgehen. Es ist unklar, wie Microsoft und andere Hersteller von Fingerabdrucksensoren das Problem auf der Grundlage dieser Forschung lösen werden.
[Anzeige_2]
Quellenlink
![[Foto] Ständiges Mitglied des Sekretariats Tran Cam Tu arbeitet mit dem Ständigen Ausschuss des Parteikomitees des Gesundheitsministeriums zusammen](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/10/10/1760079818773_image-4-6972-jpg.webp)
![[Foto] Einzigartiges Phu Gia-Pferdehut-Webhandwerk](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/10/10/1760084018320_ndo_br_01-jpg.webp)
![[Foto] „Briefe freilegen“ im Hochwasserzentrum von Lang Son](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/10/10/1760080117518_ndo_br_z7101324112737-07cd4d1c01801a8ccf4ae0cbaf31c4a3-507-jpg.webp)
Kommentar (0)