Onderzoekers ontdekten kwetsbaarheden in verschillende vingerafdrukscanners voor Windows-laptops. Het blijkt zelfs mogelijk te zijn om Windows Hello volledig buitenspel te zetten.
Microsoft slaat zich met trots op de borst dat bijna negen op tien Windows-gebruikers, een cijfer dat al wel dateert van 2020, gebruik maakt van Windows Hello om zich zonder wachtwoord aan te melden. Maar hoe veilig is biometrische identificatie echt? Microsoft gaf zelf de opdracht aan Blackwing om de vingerafdrukscanners in laptops van Dell, Lenovo en de eigen Surface-lijn onder de loep te nemen. Uit de test blijkt dat ook Windows Hello niet helemaal feilloos is.
Eerst een kort woordje uitleg over hoe een vingerafdrukscanner precies werkt. Je hebt verschillende kleuren en smaken, maar in laptops wordt meestal een match-on-chip-scanner ingezet. Die term houdt in dat je vingerafdruk op de chip in de scanner wordt bewaard en niet op de servers van Microsoft. Leg je je vinger op de scanner, dan zoekt die naar een overeenkomst in zijn database en bij een positieve match, geeft je scanner via een inwendige usb-connectie door aan Windows dat jij het wel degelijk bent.
Windows Hello buitenspel gezet
Vingerafdrukscanners worden niet door Microsoft, maar door externe fabrikanten ontworpen. Blackwing legde scanners van Goodix, Synaptics en ELAN op de rooster. Alle drie bleken ze vatbaar voor ‘man-in-the-middle’ aanvallen, de ene al wat meer dan de andere, waarbij het signaal tussen de scanner en Windows kan onderschept worden.
Dat ging gelukkig wel niet zonder slag of stoot. De onderzoekers moesten reverse engineering toepassen op de software en de hardware in de scanner, in combinatie met hercoderen van bedrijfsprotocollen. In de sensor van Synaptics werd ook een cryptografische implementatiefout blootgelegd. Het eindresultaat was dat de onderzoekers Windows Hello volledig konden omzeilen als biometrische identificatie eenmaal was geactiveerd op het apparaat. Een uitgebreide analyse en beschrijving van de methodiek kan je lezen in een blog.
Het is niet de eerste keer dat onderzoekers zwaktes in Windows Hello blootleggen. Ook gezichtsherkenning valt te omzeilen. Met een infraroodbeeld van een persoon kan je de webcam in een laptop doen geloven dat zijn rechtmatige eigenaar voor de camera zit. Meer daarover lees je dan weer in deze blog door Cyberark.
De fout voor de kwetsbaarheden ligt niet bij Microsoft. De softwarereus ontwikkelde het Secure Device Connection Protocol net om te voorkomen dat je toegangssleutel kunnen worden gebruikt door andere personen. Maar dit protocol was op slechts van één van de drie onderzochte apparaten ook effectief ingeschakeld.
Veiliger dan een wachtwoord
Hoewel het kraken van Windows Hello al verregaande technische vaardigheden vereist, mogen de conclusies van deze onderzoeken niet onder tafel worden geveegd. Hackers tonen zich immers steeds vernuftiger. Microsoft wil ook volop inzetten in biometrische identificatie om wachtwoorden te vervangen. Windows 11 ondersteunt sinds kort passkeys om met Windows Hello ook bij websites te kunnen inloggen.
lees ook
Inloggen zonder wachtwoord: hoe werken passkeys in Windows 11?
Biometrische identificatie heeft de reputatie veiliger te zijn dan wachtwoorden. Voor 99 procent klopt dat ook, maar nu blijkt dat het ook nog niet honderd procent waterdicht is. Aanvallers zullen hun methoden de komende jaren meer richting deze vorm van authenticatie gaan verschuiven. Het blijft dan ook zaak om meerdere lagen van verificatie in te bouwen (MFA) om zeker te zijn dat je digitale identiteit beschermd blijft.