Microsoft's "Windows Hello" is niet zo veilig als verwacht
Beveiligingsbedrijf ontdekt mazen in vingerafdruksensoren - en kon toegang krijgen tot Windows laptops. Dit lukte blijkbaar zonder veel moeite.
Sinds Windows 10 gebruiken gebruikers de "Windows Hello" technologie om in te loggen op hun apparaten. Naast een pincode kunnen gebruikers zich ook verifiëren met biometrische middelen, zoals een vingerafdruk. Omdat er veel verschillende fabrikanten van Windows laptops zijn, worden er ook verschillende vingerafdruksensoren gebruikt.
Het lijkt er echter op dat deze authenticatiemethode kan worden omzeild - met relatief eenvoudige middelen. Dit is ontdekt door het beveiligingsbedrijf "Blackwing". De reden hiervoor zijn verschillende kwetsbaarheden in verschillende vingerafdruksensoren.
USB-apparaat omzeilt vingerafdrukslot
De getroffen vingerafdruksensoren zijn afkomstig van de fabrikanten Goodix, Synaptics en ELAN. Hun sensoren worden onder andere gebruikt in laptops van Dell, Lenovo en Microsoft. Blackwing onderzocht in opdracht van Microsoft een Dell Inspiron 15, een Lenovo ThinkPad T14 en een Surface Pro X van Microsoft.
Bron: Florian Bodoky
Blackwing slaagde erin een man-in-the-middle-aanval (MITM) uit te voeren met behulp van een geprepareerd USB-apparaat. Zodra de USB-stick werd ingebracht, verleende deze toegang tot de notebook als het inloggen met de vingerafdruk was geactiveerd. Dit is naar schatting het geval bij 85 procent van alle notebooks - niet in de laatste plaats omdat Microsoft de passkey technologie sterk promoot. De MITM vond plaats in de interface tussen de vingerafdrukscanner en de host - waar Blackwing het kon lokaliseren.
Volgens het bedrijf suggereert dit dat de kwetsbaarheid niet helemaal de schuld is van Microsoft. Het bedrijf heeft namelijk het Secure Device Connection Protocol (SDCP) ontwikkeld voor veilige gegevensuitwisseling tussen de sensor en de host. Volgens Blackwing begrijpen de fabrikanten niet echt hoe het SDCP werkt. Het protocol was niet eens geactiveerd op twee van de drie geteste apparaten. Blackwing raadt notebookfabrikanten aan ervoor te zorgen dat het SDCP wordt geactiveerd en correct wordt geïmplementeerd in de vingerafdruksensor.
Microsoft is wat de kwetsbaarheid betreft aan de verliezende hand. Ze moeten echter ook naar zichzelf kijken: De Surface Pro X was ook een van de notebooks waarop SDCP niet was geactiveerd.
Afbeelding omslag. Shutterstock
Sinds ik ontdekt heb hoe ik beide telefoonkanalen op de ISDN kaart kan activeren voor meer bandbreedte, ben ik aan het knutselen met digitale netwerken. Ik knutsel al met analoge netwerken sinds ik kan praten. Winterthur door keuze met een rood-blauw hart. En koffie - voor, na, tussendoor en tijdens.