Windows Hello-aanmelding met vingerafdruk omzeild door beveiligingsonderzoekers

Beveiligingsonderzoekers zijn erin geslaagd de vingerafdrukverificatiemaatregel van Windows Hello te omzeilen. Onderzoekers van het in New York gevestigde Blackwing Intelligence waren blijkbaar in staat vingerafdrukauthenticatie te omzeilen op Dell-, Lenovo- en Microsoft-laptops door misbruik te maken van een fout in vingerafdruksensoren, met name die van topfabrikanten Goodix, Synaptics en ELAN.

Op zijn site Blackwing Intelligence publiceerde een bericht waarin werd beschreven hoe het in staat was een op USB gebaseerde MitM te gebruiken (“Man in the Middle ”) aanval om Windows Hello-authenticatie te omzeilen en toegang te krijgen tot een apparaat. De bevindingen werden vorige maand gepresenteerd tijdens de Microsoft BlueHat-conferentie. Op dit moment is het onduidelijk hoe Microsoft het probleem gaat oplossen.

Gezichtsherkenningssoftware voor Windows 10: het beste voor 2023

Microsoft dringt al een tijdje aan op biometrische authenticatiemaatregelen en meldde in 2020 dat maar liefst bijna 85 procent van de laptopgebruikers op Windows Windows Hello gebruikte om in te loggen bij Windows 10 (rekening houdend met eenvoudige PIN-geauthenticeerde logins).

Hoewel aangeprezen als een veiligere manier om Windows-apparaten te beschermen, zijn biometrische inlogmaatregelen zoals het scannen van vingerafdrukken en gezichtsherkenning niet onfeilbaar, zoals blijkt uit de BlueHat-presentatie van Blackwing Intelligence. Een paar jaar geleden Cyberark Labs kon een proof of concept leveren dat liet zien hoe Windows Hello-gezichtsherkenningstechnologie kon worden omzeild, wederom met behulp van een aangepaste USB geladen met een foto van het gezicht van het doelwit. Microsoft heeft dit beveiligingslek later kunnen verhelpen.

Toch komen biometrische authenticatiefuncties steeds vaker voor, ook op Windows-apparaten.