Onderzoekers omzeilen Windows Hello met camera en infrarood

Webcam op een Windows-computer waar wordt ingelogd met Windows Hello

Veiligheidsonderzoekers zijn erin geslaagd om Windows Hello voor de gek te houden. Ze slaagden er in om de beveiliging met gezichtsherkenning van Microsoft te omzeilen door een eigen USB-apparaat te bouwen. Deze moest een webcam nabootsen en bevatte infraroodbeelden van de eigenaar.

Dat schrijft beveiligingsexpert Omer Tsarfati van cybersecuritybedrijf CyberArk in een research blog.

Biometrische beveiliging in opkomst

De traditionele manier van inloggen met een gebruikersnaam en wachtwoord wordt met de dag steeds minder populair. Of de methode wordt aangevuld met tweefactorauthenticatie, of maakt plaats voor biometrische beveiliging. In het laatste geval bescherm je je apparatuur en gegevens met lichaamseigen kenmerken, zoals een vingerafdruk, irisscan, gezichtsprofiel of stem. Het idee hierachter is dat je niet langer wachtwoorden hoeft te onthouden en dat je lichaamseigenschappen uniek zijn, en dus zeer moeilijk of onmogelijk zijn na te bootsen. Er bestaan niet twee dezelfde vingerafdrukken of gezichtscontouren.

Smartphones beschikken al jaren over biometrische beveiliging. De vingerafdrukscanner is daarvan wellicht het bekendste voorbeeld. En de techniek ontwikkelt zich steeds verder. De optische vingerafdrukscanner -waarbij een kleine sensor onder het beeldscherm oplicht om het profiel van een vinger te registreren- wordt steeds vaker vervangen door een ultrasone scanner. Bij de laatste variant kaatsen ultrasone geluidsgolven tegen je vinger en wordt deze reflectie vergeleken met het opgeslagen profiel van je vingerafdruk. Technieken als gezichtsherkenning en irisscanners worden ook steeds beter en worden er steeds meer nieuwe biometrische beveiligingsmethoden ontwikkeld (stembiometrie, handpalmherkenning, doorbloeding van je aderen).

Dit moet je weten over Windows Hello

Microsoft biedt sinds jaar en dag haar eigen vorm van biometrische beveiliging: Windows Hello. Dat is een authenticatiesysteem dat het Amerikaanse hard- en softwarebedrijf toepast op haar pc’s. Een gezin met meerdere gezinsleden hebben de mogelijkheid om ieder een eigen profiel aan te maken en af te schermen van een bijvoorbeeld een vingerafdruk of gezichtsherkenning. Zo weet papa zeker dat bedrijfsgevoelige informatie veilig achter slot en grendel zit en kan junior eindeloos gamen. Volgens Microsoft gebruikt 85 procent van de Windows 10 gebruikers Windows Hello.

Windows Hello klinkt veilig en vertrouwd, maar is mogelijk minder veilig dan Microsoft doet overkomen. Beveiligingsspecialisten van CyberArk hebben de afgelopen maanden onderzoek gedaan naar mogelijk kwetsbaarheden in het authenticatiesysteem. Ze hebben een methode gevonden om de gezichtsherkenning van Windows Hello te omzeilen.

Zo misleidden de onderzoekers gezichtsherkenning van Windows Hello

“De kwetsbaarheid stelt een aanvaller met fysieke toegang tot het apparaat in staat om het authenticatieproces te manipuleren door een foto van het gezicht van het doelwit te maken (of na te maken) en vervolgens een op maat gemaakt USB-apparaat in te pluggen om de vervalste beelden te injecteren in de authenticerende host”, zo schrijft beveiligingsexpert Omer Tsarfati.

Hij zegt dat er geen aanwijzingen zijn dat hackers en cybercriminelen op deze manier de gezichtsbeveiliging van Microsoft hebben weten te omzeilen. “Maar een gemotiveerde aanvaller zou er bijvoorbeeld een onderzoeker, wetenschapper, journalist, activist of bevoorrechte gebruiker met gevoelige intellectueel eigendom op zijn apparaat mee kunnen aanvallen.”

Gezichtsherkenning van Windows Hello heeft een standaardcamera nodig die RGB en infrarood (IR) ondersteunt. Tijdens het onderzoek kwamen ze erachter dat tijdens het authenticatieproces alleen infraroodframes werden verwerkt door het systeem. Om dat te bevestigen maakten de onderzoekers een zelf gefabriceerd USB-apparaat met een evaluation board van NXP. Met het apparaat verstuurden ze valide infraroodframes van de Windows Hello-gebruiker en RGB-frames van het tekenfilmfiguur Spongebob Squarepants. De software herkende het USB-apparaat als een webcam, waarmee gezichtsherkenning van Windows Hello kon worden omzeild.

Microsoft dicht beveiligingslek Windows Hello

Deze kwetsbaarheid in Windows Hello werd op 23 maart doorgegeven aan Microsoft. Eind april erkende het Amerikaanse hard- en softwarebedrijf dat dit een beveiligingsprobleem was waar een oplossing voor gevonden moest worden. Microsoft sprak met de beveiligingsexperts van CyberArk om een oplossing te bedenken. Begin juli kreeg het probleem een eigen CVE-code, namelijk CVE-2021-34466. Op 13 juli jongstleden rolde Microsoft een security update uit dat het beveiligingslek oplost.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen