Overslaan en naar de inhoud gaan

Details gepubliceerd hoe Windows-inlog te foppen met infraroodfoto

De zwakke plek die is ontdekt in Windows Hello, de biometrische inlogfunctie van Windows, is openlijk met details uiteengezet. De omgang met een infraroodcamera blijkt veel minder strikt te zijn dan voor een reguliere webcam. Hierdoor valt de gezichtsherkenning te foppen met een infraroodafbeelding van het gezicht van een legitieme gebruiker.
shutter, privacy
© Poly
Poly

Onderzoeker Omer Tsarfati van IT-beveiligingsbedrijf CyberArk heeft deze kwetsbaarheid gevonden en weten uit te buiten. Hij heeft het verantwoord gemeld bij Microsoft, die zegt het te hebben gefixt in de updateronde van Patch Tuesday eerder deze maand. CyberArk spreekt dat tegen. Details over deze fout van Windows Hello zijn gepubliceerd en worden begin komende maand gepresenteerd op hackersconferentie Black Hat.

Gevaar: gebruiksgemak

Volgens Tsarfati is Windows Hello de populairste oplossing voor wachtwoordloos inloggen, waarbij eindgebruikers zich kunnen aanmelden op hun computer met een pincode of met biometrische authenticatie. Volgens Microsoft gebruikt 85% van de Windows 10-gebruikers Windows Hello. Deze Microsoft-technologie biedt daarbij gebruiksgemak doordat een geschikte webcam gewoon het gezicht van de legitieme gebruiker kan herkennen.

Sinds kort staat Windows Hello ook externe webcams toe, die dan met een usb-kabel worden verbonden met een computer. Dit kan nuttig zijn bij desktopcomputers, maar ook voor kwalitatief betere camera's dan die fabrikanten inbouwen in laptops. Security-expert Tsarfati van CyberArk heeft ontdekt dat Windows Hello valt te bedotten met een speciaal gebouwd usb-apparaat. Daarvoor accepteert Windows dan een printje van een infraroodfoto als echt gezicht van een aanwezig persoon.

Echte gebruiker en Spongebob

De gezichtsherkenning van Windows Hello vereist een standaardcamera die RGB en infrarood ondersteunt. Zulke webcams hebben dan twee aparte sensors, één voor zichtbaar licht en één voor infrarood beeld. Bij het onderzoek heeft Tsarfati ontdekt dat Windows tijdens het authenticatieproces alleen de infraroodbeelden verwerkt. Voor het verifiëren hiervan heeft hij een speciaal usb-apparaat gemaakt dat infraroodbeelden van hem zelf doorstuurde en RGB-beelden van tekenfilmfiguur Spongebob. De inlog lukte met deze opstelling.

De beveiligingsonderzoeker meldt in zijn technische uiteenzetting nog dat het probleem mogelijk niet beperkt is tot alleen de biometrische authenticatie van Windows. "Terwijl ons onderzoek specifiek gericht was op Windows Hello, en vooral op het enterprise-aanbod van Windows Hello for Business, is het belangrijk om op te merken dat in potentie elk authenticatiesysteem dat een usb-camera van een derde partij toestaat vatbaar kan zijn voor deze aanval. We hebben echter geen praktische tests uitgevoerd om dit te verifiëren."

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in