ifun.de — Apple News seit 2001. 38 373 Artikel

Sicherheits-Check findet gravierende Fehler

Windows Touch-ID: Hersteller-Integration mit massiven Schwachstellen

Artikel auf Mastodon teilen.
20 Kommentare 20

Apple hat zwar kein Monopol auf das Entsperren von Geräten mit dem Fingerabdruck, wie es scheint, leben Apple-Nutzer damit aber ein ganzes Stück sicherer, als dies unter Windows der Fall ist. Sicherheitsforscher haben auf Notebooks von Lenovo und Dell sowie auf einem Microsoft Surface Pro eklatante Schwachstellen im Zusammenhang mit den darin verbauten Fingerabdrucksensoren nachgewiesen.

Die Sicherheitsforscher von Blackwing Intelligence haben die Untersuchung im Auftrag von Microsofts Sicherheitsteam MORSE durchgeführt und dabei gleich mehrere Schwachstellen aufgedeckt, mit deren Hilfe sie die „Windows Hello“-Anmeldung auf allen drei Geräten umgehen konnten.

Bei den untersuchten Geräten handelt es sich um Notebooks vom Typ Dell Inspiron 15 und Lenovo ThinkPad T14 sowie die Microsoft-Tastatur „Surface Pro Type Cover“, deren Fingerabdruck-Technologie laut Microsoft nicht nur für mehr Komfort, sondern insbesondere auch für ein Plus an Sicherheit sorgen soll.

System gut – Umsetzung schlecht

Wenn man den getesteten Touch-ID-Systemen etwas zugute halten will, dann muss man die Tatsache erwähnen, dass sich der Hack nicht mal eben aus dem Ärmel schütteln ließ, sondern drei Monate Forschungsarbeit in Anspruch genommen hat. Allerdings hilft dies angesichts des abschließenden Erfolgs des „Angriffs“ nichts, denn die Arbeit resultierte den Sicherheitsforschern zufolge in drei absolut zuverlässigen Wegen, um die Authentifizierung mit Windows Hello zu umgehen.

Die Schwachstellen seien allerdings nicht der Software-Implementierung von Microsoft, sondern vielmehr der Umsetzung durch die Gerätehersteller geschuldet. Microsoft selbst habe bei der Entwicklung des zugrundeliegenden Secure Device Connection Protocol (SDCP) sehr gute Arbeit geleistet.

Die gute Nachricht für Windows-Nutzer ist dementsprechend, dass derartige Untersuchungen dazu führen sollten, dass die Implementierung der softwareseitig vorgesehenen Sicherheitsfunktionen durch Drittanbieter zukünftig ernster genommen und dann hoffentlich auch die Sicherheit bietet, die damit assoziiert wird.

22. Nov 2023 um 18:39 Uhr von Chris Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    20 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • Wie schön es doch ist, wenn alles mit allem kompatibel ist und man sich nicht in einem goldenen Käfig befindet.

  • Sicherheit ernst nehmen ist auch so ein Wunschdenken des Anwenders…

  • Das nervigste ist das man einen PIN vergeben muss und da sehe ich auch eine Schwachstelle, weil da viele eine vierstellige Zahlenkombination nutzen. Aber man kann Hello ja nicht ohne PIN nutzen. Zumindest mein letzter Stand…

  • Oh nein. Ich sehe schon wie mein AG die Funktion wieder entfernt. :(

  • Also auch die Hardwareimplementierung seitens Microsoft beim Surface.
    Naja bei Apple Geräten auch möglich.
    Nichts ist sicher.

    • Hast Du Beispiele zur Hand, wem es gelungen ist, TouchID zu knacken?

      Davon abgesehen ist Sicherheit einer Maßnahme immer relativ zu anderen zu sehen, weil es absolute Sicherheit nicht gibt, und bei dem Vergleich steht z.B. FaceID besser da als die Samsungimplementierung.

      • War doch mal der CCC, die halt einen Fingerabdruck von einem Glas abgenommen haben und in ein „Fingermodell“ erstellt haben. Ob das aktuell noch so geht, keine Ahnung, der Aufwand war schon recht hoch – deine Haustür ist einfacher zu knacken

  • So so … weil es eine Schwachstelle bei der Hardware-Implementierung von Fingerabdrucksensoren bei einigen Laptop-Herstellern gibt, lebt man als Apple-Nutzer automatisch sicherer? Eigenartige Schlussfolgerung! Sicherheitszuckerwatte aus der Hölle.

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert