Vingerafdrukscanner van Windows-laptops kwetsbaar voor omzeiling

Elwin Hodžić
0

Onderzoekers hebben ontdekt dat sommige vingerafdrukscanners op Windows laptops onveilig zijn gebleken. Ze slaagden erin de authenticatie van de vingerafdrukscanner te omzeilen en zich aan te melden als andere gebruikers.

Vingerafdrukscanner laptop onveilig bewezen door deze test.

Biometrische aanmelding via Windows Hello omzeilen

Veiligheidsexperts zijn erin geslaagd om met succes verschillende laptops te compromitteren door de biometrische aanmelding via de vingerafdrukscanner van Windows Hello te omzeilen. Ze maakten gebruik van verschillende kwetsbaarheden, waarbij diverse fabrikanten tekortschoten in de implementatie van beveiligingsmechanismen, inclusief Microsoft zelf.


Altijd op de hoogte blijven omtrent al het IT-nieuws?

Schrijf je in voor onze gratis nieuwsbrief:

Ontvang elke week het laatste IT-nieuws, de handigste tips en speciale aanbiedingen.

Onderzoek naar vingerafdruksensoren op Windows-laptops

Tijdens de BlueHat-conferentie in oktober 2023 testten beveiligingsonderzoekers, in opdracht van Microsoft’s Offensive Research and Security Engineering (MORSE), de veiligheid van drie veelgebruikte vingerafdruksensoren in Windows-laptops van fabrikanten Elan, Googix en Synaptics. De onderzoekers beschreven hun bevindingen gedetailleerd in een rapport.

Match-on-Chip-ontwerp en kwetsbaarheden

De sensoren hanteren allemaal een Match-on-Chip-ontwerp (MoC). Elke sensor beschikt over een eigen microprocessor met geheugen, waardoor de biometrische controle direct op de chip plaatsvindt. Deze aanpak is tevens ontworpen om replay-aanvallen te voorkomen, waarbij reeds opgeslagen geldige vingerafdrukken ongeautoriseerd naar de host worden overgedragen.

Fouten in implementaties

Microsoft ontwikkelde het Secure Device Connection Protocol (SDCP) om te voorkomen dat aanvallers zich kunnen mengen in de communicatie met een eigen sensor. Deze aanpak moet de integriteit en betrouwbaarheid van de communicatie met de host waarborgen, maar blijkt blijkbaar niet altijd succesvol te zijn.

Succesvolle aanvallen op verschillende laptopmodellen

Voor hun tests hebben de onderzoekers de volgende laptops onderzocht die waren uitgerust met sensoren: Dell Inspiron 15, Microsoft Surface Pro X en Lenovo ThinkPad T14. In alle drie de gevallen slaagden ze erin succesvol verbinding te maken met het netwerk door een Raspberry Pi 4 met Linux en man-in-the-middle-tools te gebruiken.

Ze beweren dat ze, door gebruik te maken van software- en hardware reverse engineering, verschillende taken konden uitvoeren. Dit omvatte het ontcijferen van het TLS-protocol van de Synaptics-sensor en het afspelen van een aangepaste versie als gevolg van implementatiefouten.

Problemen bij Dell, Lenovo én Microsoft

Bij Dell (Goodix) en Lenovo (Synaptics) hebben de onderzoekers vastgesteld dat ze eenvoudigweg de vingerafdruksensoren kunnen loskoppelen en hun eigen gemanipuleerde sensor kunnen aansluiten en gebruiken. Met de Surface Pro is de situatie niet veel beter. Dit betekent dat aanvallers als beheerder toegang kunnen verkrijgen tot laptops en schade kunnen aanrichten. Het feit dat Microsoft, als maker van SDCP-bescherming, niet controleert of de fabrikant van de vingerafdruksensor SDCP heeft ingeschakeld op zijn eigen apparaat, roept enkele vragen op.

Voor een succesvolle aanval hoefden de onderzoekers de pc’s niet opnieuw op te starten met Linux. De aanvallen werken terwijl Windows actief is. Volgens de onderzoekers heeft Bitlocker geen invloed op dergelijke aanvallen.

Maatregelen voor gebruikers én fabrikanten

Uit het rapport van de onderzoekers blijkt niet specifiek wat eigenaren van getroffen apparaten nu kunnen doen om zich te beveiligen. Het lijkt er eerder op dat er momenteel niet veel gedaan kan worden. Een mogelijke stap is het instellen van een BIOS-wachtwoord, omdat voor de beschreven aanvallen Windows actief moet zijn.

De onderzoekers dringen er bij de fabrikanten van vingerafdruksensoren op aan om SDCP te activeren en hun implementaties te laten onderwerpen aan een beveiligingsbeoordeling door derden. Het is nog onduidelijk of de beveiligingsproblemen überhaupt met software-updates kunnen worden opgelost.


Altijd op de hoogte blijven omtrent al het IT-nieuws?

Schrijf je in voor onze gratis nieuwsbrief:

Ontvang elke week het laatste IT-nieuws, de handigste tips en speciale aanbiedingen.

Meer over

laptopwindows

Deel dit artikel

Elwin Hodžić
Elwin Hodžić(Web)redacteur bij c't. Ondanks de studie geschiedenis, altijd al een passie gehad voor alles wat met IT te maken heeft. Sleutelt in zijn vrije tijd graag aan pc’s, van de hardware tot het uitpluizen van de BIOS-instellingen om een pc zo optimaal mogelijk te laten werken.

Lees ook

Netflix-account delen? Omzeilen van het verbod op delen doe je zo

Netflix is begonnen met het actief aanpakken van gebruikers die hun account delen met anderen. De streamingdienst tolereert deze praktijk niet langer....

Verrijk je IT-kennis met elke editie van c’t magazine dankzij deze aanbieding

Met c’t krijg je onafhankelijke IT-informatie om je kennis up-to-date te houden en je er verder in te verdiepen. We geven je inzicht in nieuwe ontwikk...

0 Praat mee
avatar
  Abonneer  
Laat het mij weten wanneer er