So tricksen Hacker Microsofts Gesichtserkennung aus

Die komfortabelste Methode, um sich bei Windows 10 anzumelden, ist per Gesichtserkennung. Diese ist Teil des Authentifikationssystems Windows Hello.

Um diese Form der Biometrie besonders sicher zu machen, muss die Hardware bestimmte Voraussetzungen erfüllen. Nur Webcams, die zum Farbsensor zusätzlich einen Infrarotsensor haben, erlauben die Anmeldung per Gesichtserkennung mit Windows Hello.

Obwohl diese Methode als schwer zu knacken gilt, haben IT-Sicherheitsforscher*innen jetzt einen Weg gefunden, Windows Hello zu überlisten.

USB-Gerät gibt sich als Webcam aus

Wegen des Gesichtsscans per Infrarot-Kamera ist es nicht möglich, einfach ein Foto auszudrucken und vor die Webcam zu halten. Und das Gesicht der Besitzer*in des Computers als professionelle Maske nachzubilden, ist nicht so einfach, wie es in Hollywood-Agentenfilmen dargestellt wird.

Die Forscher*innen von Cyberark haben deshalb nicht versucht, die Webcam des Notebooks zu täuschen, sondern Windows 10. Dazu haben sie ein USB-Gerät an das Notebook angesteckt, das vorgibt eine USB-Kamera zu sein.

Dieses Gerät übermittelt aber keine Live-Bilder, wie es eine Webcam machen würde, sondern ein voraufgezeichnetes Infrarotbild der Besitzer*in des Computers. Windows Hello empfängt das Infrarot-Bild und vergleicht es mit den Daten, die zum Einrichten der Gesichtserkennung gemacht wurden. Wie in einem Video von Cyberark zu sehen ist, funktioniert das: Windows Hello glaubt das korrekte Gesicht erkannt zu haben und gibt den Zugriff auf Windows 10 frei.

Infrarot-Bild des Ziels muss vorab gemacht werden

Wie die Forscher*innen berichten, hat dieser Hack 2 Probleme. Erstens, braucht man physischen Zugriff auf den Computer, den man angreifen will. Zweitens, wird ein Infrarot-Bild der Person benötigt, die den Computer per Gesichtserkennung abgesichert hat.

Laut Cyberark könnte man die Person beschatten und bei Gelegenheit das Foto mit einer Infrarot-Kamera machen. Zudem gebe es mittlerweile fortgeschrittene Infrarot-Kameras, mit der man so ein Foto auch aus einiger Entfernung machen könnte, wie etwa von der anderen Seite der Straße aus oder aus einem Auto heraus.

Dieser Form des Angriffs könnte zum Einsatz kommen, wenn man sehr gezielt Zugriff auf den Computer einer bestimmten Person benötigt, wie etwa einer Politiker*in oder einer hochrangigen Manager*in. Zudem müsse man unbemerkt etwa in das Büro der Person eindringen, um das manipulierte USB-Gerät am Computer anzuschließen oder das Notebook der Zielperson stehlen.

Die Schwachstelle wurde Microsoft gemeldet. Sie wurde im Rahmen eines Patch-Pakets, das am 13. Juli erschienen ist, geschlossen.