Microsofts Fingerabdruck-Sicherung Hello wurde geknackt

22.11.2023

Ein IT-Security-Unternehmen hat 3 Notebooks mit verschiedenen Fingerprint-Sensoren untersucht und konnte alle überlisten.

Windows 10 und 11 nutzen Hello, damit sich User*innen sicher anmelden können. Neben einem Pin-Code wird auch Biometrie unterstützt, entweder per Gesichtserkennung oder Fingerabdruck.

Das Problem beim Fingerabdruck: Notebookhersteller verbauen verschiedene Sensoren und müssen dafür sorgen, dass diese mit den eigenen Geräten und Windows harmonieren. Deshalb hat Microsoft das IT-Security-Unternehmen Blackwing beauftragt, populäre Fingerabdrucksensoren zu untersuchen. Alle 3 untersuchten Modelle konnten geknackt werden.

➤ Mehr lesen: Vom Nachwuchs-Hacker zum Security-Profi: Diese 3 haben es geschafft

USB-Gerät überlistet Fingerabdrucksperre

Blackwing hat 2 Notebooks und ein Convertible getestet: ein Dell Inspiron 15, Lenovo ThinkPad T14 und ein Microsoft Surface Pro X. Jedes Gerät nutzt den Fingerprintsensor eines anderen Herstellers. In diesem Fall waren es Modelle von Goodix, Synaptics und ELAN.

Durch das Ausnutzen mehrerer Schwachstellen konnten sie einen USB-Mini-Computer so programmieren, dass er beim Anstecken das per Fingerabdruck gesicherte Gerät entsperrte. Die Voraussetzung ist lediglich, dass die Besitzer*in die Sperre per Fingerabdruck eingerichtet und aktiviert hat. Mit dieser Methode könnte man sich Zugriff auf gestohlene Notebooks verschaffen oder auch in sekundenschnelle auf unbeaufsichtigte, aber gesperrte Geräte zugreifen.

Hersteller haben Sicherheitsmaßnahme nicht aktiviert

Der Fehler dürfte jedenfalls nicht gänzlich bei Microsoft bzw. Windows liegen. Das Secure Device Connection Protocol (SDCP), welches für den sicheren Datenaustausch zwischen Fingerprintsensor und Host verantwortlich ist, wurde laut Blackwing von Microsoft gut gemacht. Allerdings scheinen ein paar Hersteller die Funktion nicht ganz zu verstehen. So war etwa SDCP auf 2 der 3 Geräte nicht mal aktiviert – und eines der Geräte war Microsofts Surface Pro X. Außerdem würde SDCP nur einen sehr schmalen Bereich der Funktion eines Geräts abdecken, während die meisten Geräte eine viel größere Angriffsfläche abseits von SDCP bieten.

Blackwing empfiehlt Herstellern SDCP zu aktivieren. Außerdem sollten externe Expert*innen die Implementierung überprüfen – wenig überraschend, bietet sich hier Blackwing selbst für diese Tätigkeit an. Das Security-Unternehmen will die Sensoren und deren „schlechten Code“ weiter untersuchen. Außerdem wollen sie versuchen, ob die im Laufe der Untersuchung entwickelten Angriffsmethoden auch auf „Linux, Apple und Android“ umgemünzt werden können.