Onderzoekers hebben ontdekt dat sommige vingerafdrukscanners op Windows laptops onveilig zijn gebleken. Ze slaagden erin de authenticatie van de vingerafdrukscanner te omzeilen en zich aan te melden als andere gebruikers.
Biometrische aanmelding via Windows Hello omzeilen
Veiligheidsexperts zijn erin geslaagd om met succes verschillende laptops te compromitteren door de biometrische aanmelding via de vingerafdrukscanner van Windows Hello te omzeilen. Ze maakten gebruik van verschillende kwetsbaarheden, waarbij diverse fabrikanten tekortschoten in de implementatie van beveiligingsmechanismen, inclusief Microsoft zelf.
Altijd op de hoogte blijven omtrent al het IT-nieuws?
Schrijf je in voor onze gratis nieuwsbrief:
Onderzoek naar vingerafdruksensoren op Windows-laptops
Tijdens de BlueHat-conferentie in oktober 2023 testten beveiligingsonderzoekers, in opdracht van Microsoft’s Offensive Research and Security Engineering (MORSE), de veiligheid van drie veelgebruikte vingerafdruksensoren in Windows-laptops van fabrikanten Elan, Googix en Synaptics. De onderzoekers beschreven hun bevindingen gedetailleerd in een rapport.
Match-on-Chip-ontwerp en kwetsbaarheden
De sensoren hanteren allemaal een Match-on-Chip-ontwerp (MoC). Elke sensor beschikt over een eigen microprocessor met geheugen, waardoor de biometrische controle direct op de chip plaatsvindt. Deze aanpak is tevens ontworpen om replay-aanvallen te voorkomen, waarbij reeds opgeslagen geldige vingerafdrukken ongeautoriseerd naar de host worden overgedragen.
Fouten in implementaties
Microsoft ontwikkelde het Secure Device Connection Protocol (SDCP) om te voorkomen dat aanvallers zich kunnen mengen in de communicatie met een eigen sensor. Deze aanpak moet de integriteit en betrouwbaarheid van de communicatie met de host waarborgen, maar blijkt blijkbaar niet altijd succesvol te zijn.
Succesvolle aanvallen op verschillende laptopmodellen
Voor hun tests hebben de onderzoekers de volgende laptops onderzocht die waren uitgerust met sensoren: Dell Inspiron 15, Microsoft Surface Pro X en Lenovo ThinkPad T14. In alle drie de gevallen slaagden ze erin succesvol verbinding te maken met het netwerk door een Raspberry Pi 4 met Linux en man-in-the-middle-tools te gebruiken.
Ze beweren dat ze, door gebruik te maken van software- en hardware reverse engineering, verschillende taken konden uitvoeren. Dit omvatte het ontcijferen van het TLS-protocol van de Synaptics-sensor en het afspelen van een aangepaste versie als gevolg van implementatiefouten.
Problemen bij Dell, Lenovo én Microsoft
Bij Dell (Goodix) en Lenovo (Synaptics) hebben de onderzoekers vastgesteld dat ze eenvoudigweg de vingerafdruksensoren kunnen loskoppelen en hun eigen gemanipuleerde sensor kunnen aansluiten en gebruiken. Met de Surface Pro is de situatie niet veel beter. Dit betekent dat aanvallers als beheerder toegang kunnen verkrijgen tot laptops en schade kunnen aanrichten. Het feit dat Microsoft, als maker van SDCP-bescherming, niet controleert of de fabrikant van de vingerafdruksensor SDCP heeft ingeschakeld op zijn eigen apparaat, roept enkele vragen op.
Voor een succesvolle aanval hoefden de onderzoekers de pc’s niet opnieuw op te starten met Linux. De aanvallen werken terwijl Windows actief is. Volgens de onderzoekers heeft Bitlocker geen invloed op dergelijke aanvallen.
Maatregelen voor gebruikers én fabrikanten
Uit het rapport van de onderzoekers blijkt niet specifiek wat eigenaren van getroffen apparaten nu kunnen doen om zich te beveiligen. Het lijkt er eerder op dat er momenteel niet veel gedaan kan worden. Een mogelijke stap is het instellen van een BIOS-wachtwoord, omdat voor de beschreven aanvallen Windows actief moet zijn.
De onderzoekers dringen er bij de fabrikanten van vingerafdruksensoren op aan om SDCP te activeren en hun implementaties te laten onderwerpen aan een beveiligingsbeoordeling door derden. Het is nog onduidelijk of de beveiligingsproblemen überhaupt met software-updates kunnen worden opgelost.
Altijd op de hoogte blijven omtrent al het IT-nieuws?
Schrijf je in voor onze gratis nieuwsbrief: