Vingerafdrukscanner van Windows-laptops kwetsbaar voor omzeiling

Elwin Hodžić28 november, 2023• min. leestijd

Onderzoekers hebben ontdekt dat sommige vingerafdrukscanners op Windows laptops onveilig zijn gebleken. Ze slaagden erin de authenticatie van de vingerafdrukscanner te omzeilen en zich aan te melden als andere gebruikers.

Vingerafdrukscanner laptop onveilig bewezen door deze test.

Biometrische aanmelding via Windows Hello omzeilen

Veiligheidsexperts zijn erin geslaagd om met succes verschillende laptops te compromitteren door de biometrische aanmelding via de vingerafdrukscanner van Windows Hello te omzeilen. Ze maakten gebruik van verschillende kwetsbaarheden, waarbij diverse fabrikanten tekortschoten in de implementatie van beveiligingsmechanismen, inclusief Microsoft zelf.

Altijd op de hoogte blijven omtrent al het IT-nieuws?

Schrijf je in voor onze gratis nieuwsbrief:

Je aanmelding is helaas niet gelukt. Probeer het later nog eens.

Onderzoek naar vingerafdruksensoren op Windows-laptops

Tijdens de BlueHat-conferentie in oktober 2023 testten beveiligingsonderzoekers, in opdracht van Microsoft’s Offensive Research and Security Engineering (MORSE), de veiligheid van drie veelgebruikte vingerafdruksensoren in Windows-laptops van fabrikanten Elan, Googix en Synaptics. De onderzoekers beschreven hun bevindingen gedetailleerd in een rapport.

Match-on-Chip-ontwerp en kwetsbaarheden

De sensoren hanteren allemaal een Match-on-Chip-ontwerp (MoC). Elke sensor beschikt over een eigen microprocessor met geheugen, waardoor de biometrische controle direct op de chip plaatsvindt. Deze aanpak is tevens ontworpen om replay-aanvallen te voorkomen, waarbij reeds opgeslagen geldige vingerafdrukken ongeautoriseerd naar de host worden overgedragen.

Fouten in implementaties

Microsoft ontwikkelde het Secure Device Connection Protocol (SDCP) om te voorkomen dat aanvallers zich kunnen mengen in de communicatie met een eigen sensor. Deze aanpak moet de integriteit en betrouwbaarheid van de communicatie met de host waarborgen, maar blijkt blijkbaar niet altijd succesvol te zijn.

Succesvolle aanvallen op verschillende laptopmodellen

Voor hun tests hebben de onderzoekers de volgende laptops onderzocht die waren uitgerust met sensoren: Dell Inspiron 15, Microsoft Surface Pro X en Lenovo ThinkPad T14. In alle drie de gevallen slaagden ze erin succesvol verbinding te maken met het netwerk door een Raspberry Pi 4 met Linux en man-in-the-middle-tools te gebruiken.

Ze beweren dat ze, door gebruik te maken van software- en hardware reverse engineering, verschillende taken konden uitvoeren. Dit omvatte het ontcijferen van het TLS-protocol van de Synaptics-sensor en het afspelen van een aangepaste versie als gevolg van implementatiefouten.

Problemen bij Dell, Lenovo én Microsoft

Bij Dell (Goodix) en Lenovo (Synaptics) hebben de onderzoekers vastgesteld dat ze eenvoudigweg de vingerafdruksensoren kunnen loskoppelen en hun eigen gemanipuleerde sensor kunnen aansluiten en gebruiken. Met de Surface Pro is de situatie niet veel beter. Dit betekent dat aanvallers als beheerder toegang kunnen verkrijgen tot laptops en schade kunnen aanrichten. Het feit dat Microsoft, als maker van SDCP-bescherming, niet controleert of de fabrikant van de vingerafdruksensor SDCP heeft ingeschakeld op zijn eigen apparaat, roept enkele vragen op.

Voor een succesvolle aanval hoefden de onderzoekers de pc’s niet opnieuw op te starten met Linux. De aanvallen werken terwijl Windows actief is. Volgens de onderzoekers heeft Bitlocker geen invloed op dergelijke aanvallen.

Maatregelen voor gebruikers én fabrikanten

Uit het rapport van de onderzoekers blijkt niet specifiek wat eigenaren van getroffen apparaten nu kunnen doen om zich te beveiligen. Het lijkt er eerder op dat er momenteel niet veel gedaan kan worden. Een mogelijke stap is het instellen van een BIOS-wachtwoord, omdat voor de beschreven aanvallen Windows actief moet zijn.

De onderzoekers dringen er bij de fabrikanten van vingerafdruksensoren op aan om SDCP te activeren en hun implementaties te laten onderwerpen aan een beveiligingsbeoordeling door derden. Het is nog onduidelijk of de beveiligingsproblemen überhaupt met software-updates kunnen worden opgelost.

Altijd op de hoogte blijven omtrent al het IT-nieuws?

Schrijf je in voor onze gratis nieuwsbrief:

Je aanmelding is helaas niet gelukt. Probeer het later nog eens.

Elwin Hodžić(Web)redacteur bij c't. Ondanks de studie geschiedenis, altijd al een passie gehad voor alles wat met IT te maken heeft. Sleutelt in zijn vrije tijd graag aan pc’s, van de hardware tot het uitpluizen van de BIOS-instellingen om een pc zo optimaal mogelijk te laten werken.

Pre-order nu de nieuwe special: Alles over Artificiële Intelligentie

De ontwikkelingen op het gebied van Artificiële Intelligentie volgen elkaar snel op. Je kunt er niet alleen artikelen mee (door laten) schrijven, foto...

nieuws•AI c't magazine ChatGPT Software

28/04/2024

Ubuntu 24.04 LTS release: dit kun je verwachten van deze nieuwe versie

Canonical heeft de langverwachte release van versie 24.04 LTS van zijn eigen Linux distributie Ubuntu op tijd uitgebracht. Veel beheerders keken ernaa...

nieuws•Linux ubuntu

26/04/2024

Softlink

0 Praat mee

Abonneer

Cookie	Looptijd	Omschrijving
AnalyticsSyncHistory	1 month	No description
bc_view	1 year	No description
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
cookielawinfo-checkbox-socialmedia	1 year	No description
cxexp	30 minutes	No description available.
cxid	session	No description available.
iutk	5 months 27 days	This cookie is used by Issuu analytic system. The cookies is used to gather information regarding visitor activity on Issuu products.
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
li_gc	2 years	No description
li_sugr	3 months	No description available.
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
ROUTEID	session	This cookie is used for directing the users to the same server.
SERVERID	past	This cookie is used to assign the user to a specific server, thus to provide a improved and faster server time. It remembers which server had delivered the last page on to the browser. It also helps in load balancing.
SessionID	session	No description
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_UA-1134343-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookie	Looptijd	Omschrijving
bscookie	2 years	This cookie is a browser ID cookie set by Linked share Buttons and ad tags.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
GoogleAdServingTest	session	No description
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
mc	1 year 1 month	Quantserve sets the mc cookie to anonymously track user behaviour on the website.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
uuid	session	To optimize ad relevance by collecting visitor data from multiple websites such as what pages have been loaded.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
__gads	1 year 24 days	The __gads cookie, set by Google, is stored under DoubleClick domain and tracks the number of times users see an advert, measures the success of the campaign and calculates its revenue. This cookie can only be read from the domain they are set on and will not track any data while browsing through other sites.

Cookie	Looptijd	Omschrijving
bcookie	2 years	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
CONSENT	16 years 2 months 19 days 17 hours	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.

Vingerafdrukscanner van Windows-laptops kwetsbaar voor omzeiling

Biometrische aanmelding via Windows Hello omzeilen

Altijd op de hoogte blijven omtrent al het IT-nieuws?

Onderzoek naar vingerafdruksensoren op Windows-laptops

Match-on-Chip-ontwerp en kwetsbaarheden

Fouten in implementaties

Succesvolle aanvallen op verschillende laptopmodellen

Problemen bij Dell, Lenovo én Microsoft

Maatregelen voor gebruikers én fabrikanten

Altijd op de hoogte blijven omtrent al het IT-nieuws?

Lees ook

Pre-order nu de nieuwe special: Alles over Artificiële Intelligentie

Ubuntu 24.04 LTS release: dit kun je verwachten van deze nieuwe versie

Lees ook

Softlink

Blijf op de hoogte!

Vingerafdrukscanner van Windows-laptops kwetsbaar voor omzeiling

Biometrische aanmelding via Windows Hello omzeilen

Altijd op de hoogte blijven omtrent al het IT-nieuws?

Onderzoek naar vingerafdruksensoren op Windows-laptops

Match-on-Chip-ontwerp en kwetsbaarheden

Fouten in implementaties

Succesvolle aanvallen op verschillende laptopmodellen

Problemen bij Dell, Lenovo én Microsoft

Maatregelen voor gebruikers én fabrikanten

Altijd op de hoogte blijven omtrent al het IT-nieuws?

Meer over

Deel dit artikel

Lees ook

Pre-order nu de nieuwe special: Alles over Artificiële Intelligentie

Ubuntu 24.04 LTS release: dit kun je verwachten van deze nieuwe versie

Lees ook

Softlink

Blijf op de hoogte!