Schwachstellen in der Hallo-Authentifizierung entdeckt: Sicher bleiben
Im Bereich der Cybersicherheit hat eine aktuelle Studie eine Reihe von Schwachstellen bei der Hello-Authentifizierung aufgedeckt, die die Windows Hello-Authentifizierung auf beliebten Laptop-Modellen wie dem Dell Inspiron 15, dem Lenovo ThinkPad T14 und dem Microsoft Surface Pro X gefährden könnten. Die von den Forschern von Blackwing Intelligence, einem auf die Sicherheit von Hardware- und Softwareprodukten spezialisierten Unternehmen, durchgeführten Untersuchungen unterstreichen die potenziellen Sicherheitsrisiken im Zusammenhang mit den in diesen Geräten integrierten Fingerabdrucksensoren von Goodix, Synaptics und ELAN. Dieser Blog befasst sich mit den Details der Schwachstellen der Hello-Authentifizierungsowie auf die empfohlenen Abhilfemaßnahmen.
Die Art der Sicherheitslücken bei der Hello-Authentifizierung
Die fraglichen Fingerabdruck-Sensoren, kategorisiert als "Match on Chip" (MoC) kategorisiert werden, beherbergen in ihren integrierten Schaltkreisen sowohl Funktionen zum Abgleich als auch zur biometrischen Verwaltung. Obwohl MoC in der Lage ist, die Wiedergabe gespeicherter Fingerabdruckdaten zu verhindern, kann es nicht verhindern, dass ein bösartiger Sensor die Kommunikation eines legitimen Sensors mit dem Host nachahmt. Dies könnte zu falschen Behauptungen über eine erfolgreiche Benutzerauthentifizierung führen.
Bewertung der Anfälligkeit
Die Forscher Jesse D'Aguanno und Timo Teräs betonen, dass MoC zwar bestimmte Exploits verhindert, aber nicht die Möglichkeit, dass ein bösartiger Sensor die erfolgreiche Authentifizierung eines autorisierten Benutzers fälschlicherweise behauptet. Darüber hinaus verhindert MoC nicht die Wiederholung des zuvor aufgezeichneten Datenverkehrs zwischen dem Host und dem Sensor, was Raum für eine Ausnutzung lässt.
Die Rolle des Secure Device Connection Protocol (SDCP)
Microsoft hat das Secure Device Connection Protocol (SDCP) eingeführt, um einen sicheren End-to-End-Kanal einzurichten und damit Schwachstellen im Zusammenhang mit Fingerabdrucksensoren zu entschärfen. Forscher entdeckten jedoch eine neuartige Methode, mit der die SDCP-Schutzmaßnahmen umgangen werden können und die Adversary-in-the-Middle (AitM)-Angriffe.
ELAN-Sensor-Fehler
Der ELAN-Sensor, dem die SDCP-Unterstützung fehlt, wurde als anfällig für eine Kombination aus Sensor-Spoofing und Klartextübertragung von Sicherheitskennungen (SIDs) identifiziert. Diese Cyber-Bedrohungen für die Authentifizierung ermöglichen es jedem USB-Gerät, sich als der Fingerabdrucksensor auszugeben und fälschlicherweise anzugeben, dass sich ein autorisierter Benutzer anmeldet.
Synaptics und TLS
Im Fall von Synaptics wurde festgestellt, dass SDCP standardmäßig deaktiviert ist. Außerdem stützte sich die Implementierung auf einen fehlerhaften benutzerdefinierten TLS-Stack (Transport Layer Security), um die USB-Kommunikation zwischen dem Host-Treiber und dem Sensor zu sichern. Diese Schwachstelle könnte ausgenutzt werden, um die biometrische Authentifizierung zu umgehen.
Goodix Sensorauswertung
Die Nutzung des Goodix-Sensor besteht darin, einen grundlegenden Unterschied in den Anmeldevorgängen zwischen Windows und Linux auszunutzen. Der Angriffsprozess umfasst das Booten von Linux, die Registrierung des Fingerabdrucks eines Angreifers und die Manipulation der Verbindung zwischen dem Host und dem Sensor. Diese Manipulation ermöglicht es dem Angreifer, sich als legitimer Benutzer mit seinem eigenen Fingerabdruck anzumelden.
Authentifizierung Exploit-Prävention
Um diese Schwachstellen zu beseitigen, wird empfohlen, dass Originalgerätehersteller (OEMs) SDCP aktivieren und die Implementierung von Fingerabdrucksensoren von unabhängigen qualifizierten Experten überprüfen lassen. Dieser proaktive Ansatz kann das Risiko eines unbefugten Zugriffs erheblich verringern und die allgemeine Sicherheitslage von Laptops verbessern. Implementierung von bewährter Authentifizierungsverfahren ist von entscheidender Bedeutung für die Schaffung eines robusten Verteidigungsmechanismus gegen sich entwickelnde Cyber-Bedrohungen
Historischer Kontext
Es ist wichtig anzumerken, dass dies nicht das erste Mal ist, dass die Biometrie von Windows Hello mit Sicherheitsproblemen zu kämpfen hat. Unter Juli 2021veröffentlichte Microsoft Patches für eine mittelschwere Sicherheitslücke (CVE-2021-34466, CVSS-Score: 6.1), die es einem Angreifer ermöglichen könnte, das Gesicht einer Zielperson zu fälschen und den Anmeldebildschirm zu umgehen. Die proaktive Einführung von Multi-Faktor-Authentifizierungssicherheit ist ein entscheidender Faktor bei der Verstärkung der digitalen Verteidigung.
Einblicke der Forscher
Die Forscher erkennen zwar die Bemühungen von Microsoft bei der Entwicklung von SDCP zur Schaffung eines sicheren Kanals an, weisen jedoch auf eine Verständnislücke bei den Geräteherstellern hinsichtlich der Ziele hin. Darüber hinaus betonen sie, dass SDCP nur einen kleinen Bereich des Gerätebetriebs abdeckt und somit eine beträchtliche Angriffsfläche bietet. Das Gebot der Stunde ist die proaktive Verstärkung der Sicherheitsmaßnahmen um potenzielle Verstöße zu vereiteln durch Ausnutzung von Authentifizierungsschwachstellenund eine robuste Verteidigung gegen sich entwickelnde Cyber-Bedrohungen zu gewährleisten.
Schlussfolgerung
Zusammenfassend lässt sich sagen, dass die jüngsten Enthüllungen über Sicherheitslücken in der Fingerabdruck Authentifizierungssicherheit
auf beliebten Laptop-Modellen unterstreichen die Fortschritte bei Cybersicherheitsrisiken und den dringenden Bedarf an verbesserten Sicherheitsmaßnahmen für die Authentifizierung. Indem sie diese Schwachstellen durch die Implementierung von SDCP und strenge unabhängige Audits beheben, können OEMs die Integrität von Fingerabdruck-Sensorsystemen verstärken. Da sich die Technologie weiterentwickelt, ist die kontinuierliche Zusammenarbeit zwischen Forschern, Herstellern und Cybersecurity-Experten weiterhin von größter Bedeutung, um potenziellen Bedrohungen immer einen Schritt voraus zu sein.
Zu den Quellen für diesen Beitrag gehören Artikel in Die Hacker-Nachrichten und The Verge.