Onderzoekers omzeilen vingerafdrukscanner in Windows Hello
Wie een laptop met een webcam of vingerafdrukscanner heeft, kent Windows Hello wellicht. Windows Hello maakt het mogelijk om in te loggen met biometrische gegevens, of dat nu een vingerafdruk, gezichtsscan of zelfs irisscan is. Hoewel biometrische inlogmethodes over het algemeen veiliger zijn dan pincodes, lijkt dat voor de vingerafdrukscanner in Windows Hello niet op te gaan. Het is namelijk mogelijk om de identiteitscontrole volledig te omzeilen.
Dat ontdekten onderzoekers bij Blackwing Intelligence. Op vraag van Microsoft Offices Research en Security Engineering-team (MORSE) gingen de onderzoekers aan de slag met de drie meest populaire vingerafdrukscanners in laptops. Ze gebruikten daarvoor populaire laptops als de Dell Inspiron 15, Lenovo ThinkPad T14 en de Microsoft Surface Pro Type-Cover met Fingerprint ID. De vingerafdrukscanners die in deze toestellen werden ingebouwd, komen ook voor op andere toestellen.
Man-in-the-middle-aanval
In een blogpost beschrijven Jesse D’Aguanno en Timo Terãs hoe ze erin slaagden om de identificatie via Windows Hello volledig te omzeilen. Daarvoor gebruikten ze een man-in-the-middle-aanval, waarbij Windows om de tuin geleid werd. Op het moment dat de vingerafdrukscanner met het OS communiceert, springen de onderzoekers ertussen. Tijdens die tussenkomst zorgen ze ervoor dat Microsoft niet in de eigen database met vingerafdrukken gaat kijken, maar naar een database die de onderzoekers zelf aanlegden.
Met andere woorden: met de juiste usb-stick kunnen hackers Windows Hello omzeilen. Het probleem doet zich overigens niet op maar één toestel voor, maar op alle drie de laptops. Daarin zitten vingerafdrukscanners van Goodix, Synaptics en ELAN. Het is dus niet zo dat één soort vingerafdrukscanner minder veilig is dan de andere. Het probleem lijkt in Windows Hello zélf te zitten, in de manier waarop dat programma met de scanner en databases communiceert.
Bescherming
Om jezelf te beschermen tegen een aanval als deze, zorg je er best voor dat je toestellen niet onbewaakt achterblijven. Indien iemand je toestel op deze manier binnendringt, heeft de hacker toegang tot al je bestanden, opgeslagen wachtwoorden, e-mails enzoverder.