Hello-Schutzsystem Forscher tricksen Gesichtserkennung von Windows 10 aus

Windows 10 lässt sich auf Wunsch per Gesichtserkennung entsperren - ganz sicher ist die aber offenbar nicht. Zwei Sicherheitsexperten haben einen Weg gefunden, das System per Papierausdruck zu überlisten.

Demonstrationsvideo der Forscher
YouTube

Demonstrationsvideo der Forscher


Nachdem sich zuletzt unter anderem Apples neues Face-ID-System mit Masken narren ließ, landet jetzt auch Microsofts Konkurrenzsystem namens Windows Hello Face Authentication in den Schlagzeilen. Den Forschern Matthias Deeg und Philipp Buchegger der Tübinger Sicherheitsfirma SySS GmbH ist es laut einem Blogpost gelungen, die Gesichtserkennung von Windows 10 mit einem speziellen Papierausdruck an ihre Grenzen zu bringen.

Den IT-Sicherheitsexperten zufolge ist es mit dem richtigen Ausdruck möglich, die Hello-Gesichtserkennung erfolgreich "in verschiedenen Versionen von Windows 10 mit unterschiedlichen Hard- und Softwarekonfigurationen zu umgehen".

Eine Frage des richtigen Fotos und Ausdrucks

Den richtigen Papierausdruck muss man allerdings auch erst einmal haben - ganz so leicht, wie er zunächst klingt, ist der Angriff dann doch nicht. Der Ausdruck der Forscher, mit dem das Entsperren auch ohne echtes Gesicht funktionierte, hatte demnach eine Auflösung von nur 340x340 Pixeln und zeigte eine im System registrierte Person, deren Gesicht frontal fotografiert wurde. Das Opfer half also mehr oder weniger aktiv mit.

Fotostrecke

5  Bilder
Smartphone-Sicherheit: Biometrie-Fails - Wenn Hacker das System narren

Wichtig war zudem, dass die Aufnahme im Nahinfrarotbereich erstellt und auf einem Laserdrucker ausgedruckt wurde. Mit einem Tintenstrahldrucker-Ausdruck jedenfalls klappte das Austricksen nicht, erzählt Forscher Matthias Deeg. Zuletzt seien noch Helligkeit und Kontrast verändert worden, das laut den Forschern aber "mit einfachen Mitteln".

In insgesamt drei YouTube-Videos dokumentieren Deeg und sein Kollege Buchegger, wie das Entsperren eines Surface Pro 4 per Ausdruck funktioniert:

Einige Erfolge, teils sogar trotz Zusatzschutz

Für ihre Versuche nutzten die Forscher neben dem Surface Pro 4 einen Dell-Laptop mit zusätzlicher USB-Kamera. Beim Dell-Gerät hatten die Wissenschaftler bei insgesamt acht aktuelleren Pro-Versionen von Windows 10 Erfolg. Beim Surface knackten sie vier Versionen. Bei zweien davon klappte das Überlisten per Ausdruck sogar, wenn extra eine Option namens "Enhanced Anti-Spoofing" aktiviert war, ein zusätzlicher Schutz gegen Täuschungsversuche, den das Dell-Gerät nicht zur Verfügung stellt.

Nach eigenen Angaben haben die Forscher Microsoft schon Mitte Oktober über ihre Erkenntnisse informiert - das könnte möglicherweise erklären, warum der Angriff bei zwei Windows-10-Pro-Versionen (konkret 1709, OS Build 16299.98 und 1703, OS Build 15063.726) bei aktiviertem "Enhanced Anti-Spoofing" nicht beziehungsweise eventuell nicht mehr funktioniert. Microsoft selbst hat auf eine SPIEGEL-Anfrage zum Thema noch nicht reagiert.

Windows-10-Pro-Kunden, die die Windows Hello Face Authentication nutzen, empfehlen die Forscher abschließend, "auf die neueste Version von 1709 zu aktualisieren, 'Enhanced Anti-Spoofing' zu aktivieren und im Anschluss daran Windows Hello Face Authentication neu zu konfigurieren". Weitere Details zu ihrem Forschungsprojekt wollen die Experten im Frühjahr 2018 veröffentlichen.

mbö



insgesamt 17 Beiträge
Alle Kommentare öffnen
Seite 1
ptb29 18.12.2017
1. Die Gesichtserkennung hat es wieder in die Schlagzeilen geschafft
Zumindest hat SPON einen Beitrag geleistet. In meinem Dell-Laptop kann man die Kamera per BIOS deaktivieren. Da die Gesichtserkennung schon bei meinem Handy zu unzuverlässig war, kann ich auf diese Sicherungsmethode verzichten.
kalsu 18.12.2017
2.
Kamera "hart" deaktivieren, ein den Regeln zur Sicherheit von Passwörtern entsprechenden Passwort wählen und das alle 60-90 Tage wechseln - Ruh' is.
Bürger Icks 18.12.2017
3. Soll ja auch nicht wirklich sichern!
Zitat von ptb29Zumindest hat SPON einen Beitrag geleistet. In meinem Dell-Laptop kann man die Kamera per BIOS deaktivieren. Da die Gesichtserkennung schon bei meinem Handy zu unzuverlässig war, kann ich auf diese Sicherungsmethode verzichten.
Sie sollen nur so oft wie möglich ihr Gesicht vor die Kamera halten, damit die "Terrorbekämpfer" und die Konzerne immer ein frisches Bild von ihnen haben, vorzugsweise mit Biometriedaten versehen.
keinblattvormmund 18.12.2017
4. Gesicht frontal fotografiert
Also das übliche biometrische Foto, welches heutzutage im Personalausweis und Reisepass obligatorisch ist...
Trevor Philips 18.12.2017
5.
Zitat von kalsuKamera "hart" deaktivieren, ein den Regeln zur Sicherheit von Passwörtern entsprechenden Passwort wählen und das alle 60-90 Tage wechseln - Ruh' is.
Genau das macht ein Großteil der Leute halt nicht und wenn doch wird das Passwort sinnvollerweise auf einem Zettel notiert, weil man es sich ja nicht behalten kann und man außerdem viele Passwörter hat. Windows Hello, richtig konfiguriert ist dagegen ein wahrer Segen.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.