Fake-Webcam: Hacker überlisten Windows-Gesichtserkennung

Thread Starter
Mitglied seit
06.03.2017
Beiträge
113.867
windows_10_logo.jpg
Zwar sind biometischrische Daten in der Regel unverwechselbar, jedoch lassen sich Sicherheitssysteme, die zur Authentifizierung genau auf diese Daten setzen, immer wieder austricksen. Jetzt hat es Microsofts Windows Hello erwischt. Hackern ist es gelungen, die Gesichtserkennung mit Hilfe einer Webcam zu überlisten. Selbst wenn der eigene Computer ordnungsgemäß gesperrt wurde, können die USB-Anschlüsse weiterhin genutzt werden. Das Unternehmen Cyberark konnte den Computer nun mit einer selbstentwickelten USB-Kamera entsperren. Dies liegt daran ist, dass Windows eine Webcam benötigt, um die Gesichtserkennung durchzuführen. Allerdings ist es für das Betriebssystem nicht möglich die Authentizität der Kamera zu überprüfen. Dies ist besonders kritische, da sich USB-Geräte klonen lassen.
... weiterlesen
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Mal wider das Wichtigste unterschlagen, es wurde ein USB Gerät gebaut was eine Webcam simuliert u. wo das Infrarotbild des Users gespeichert ist,
u. das muss man es mal haben
 
Mal wider das Wichtigste unterschlagen, es wurde ein USB Gerät gebaut was eine Webcam simuliert u. wo das Infrarotbild des Users gespeichert ist,
u. das muss man es mal haben
.... Tja, dann einfach Gerätetypen sperren wo das Feature haben die Daten auf dem Gerät zu speichern ^^

Dachte mir aber bei dem Text auch... wo sind die wirklich relevanten Infos, Foto vorhanden aus Internet etc.. -> dann vor die Fake cam oder ähnliches... aber in dem Fall.

Was kommt als nächstes?
Fingerprinter überlistet mit 3d Drucker (dass man vom Opfer den Fingerabdruck braucht würde dann bestimmt auch unterschlagen ;) .
 
Seit wann sind biometrische Daten unverwechselbar?
Das Letzte was damals vor einigen Jahren über Biometrie zu hören war, war dass sie immer noch unausgereift und unsicher war, und kurz drauf wurde sie dennoch überall implentiert, weil die Industrie heute eben so funktioniert, das man den Menschen halbgaren Müll vorsetzt. Hirwäsche sei Dank, sind ja 75% mit Allem zufrieden und stellen gar keine Fragen mehr.. Aber von Fortschritten bezüglich der Erkennungssicherheit war seitdemn gar Nichts mehr zu hören. Ergo ist die Technik immer noch unsicherer Mist, und Überlistungen keine Überraschung sondern ganz einfach zu erwarten.
 
Tja, bei den billigen Konsumerlösungen fehlen meist Features.
Bei Fingerabdrucksensoren fehlt z.B. oft die Lebenderkennung.
Fingerabdrucksensoren mit Lebenderkennung kann man nicht mit abgeschnittenen Fingern oder Kopien aus dem 3D-Drucker überlisten.
Und Fingerabdruck mit dem 3D-Drucker drucken scheitert schon an der erheblich zu geringen Druckauflösung selbst teurer 3D-Drucker.
Auch die Gesichtserkennung könnte man deutlich sicherer machen, z.B., indem man prüft, ob man da tatsächlich ein echtes Gesicht vor sich hat oder ein Bild.
Ginge z.B. mit einem Wärmebild.
Aber solche Features kosten Geld, weshalb sie meist bei Konsumerlösungen weggelassen werden.
Und damit werden diese Konsumerlösungen deutlich unsicherer, als es mit der Technik möglich wäre.
 
@passat3233 Zertifizierte Kameras für Windows Hello wie z.B. in den Surface Geräten kombinieren die Webcam mit einer IR Kamera. Lässt sich nicht soo leicht überlisten. Jedenfalls nicht durch 2D Bilder und blinzeln muss man auch noch zur Erkennung.
Ist natürlich doof wenn man die Kamera gleich umgehen und somit künstlich beliebige Daten einspeisen kann.

Ist eigentlich nachgewiesen dass das nach dem Patch noch immer möglich ist? Der Artikel sagt da ja nur noch sich halt das System weiterhin zwangsläufig auf Peripheriegeräte verlässt. USB Geräte haben eine ID und Windows kann bereits mit doppelten IDs umgehen (ordnet sie intern anhand des USB-Anschlusses eindeutig zu). Das scheint mir daher prinzipiell ein fixbares Problem zu sein.

"Wer hingegen auf Nummer sicher gehen will, sollte die Gesichtserkennung von Windows beim Login deaktivieren."
Und stattdessen wieder das gute alte Passwort verwenden? :/ Wer solch einen Aufwand für physische Angriffe aufbringt wird das auch überlisten - z.B. durch eine kleine Kamera im Büro versteckt etc.
 
Auch die Gesichtserkennung könnte man deutlich sicherer machen, z.B., indem man prüft, ob man da tatsächlich ein echtes Gesicht vor sich hat oder ein Bild.
Ginge z.B. mit einem Wärmebild.
Genau darum geht es doch hier, es wird eine USB Cam Simuliert wo das Infrarotbild des Nutzers hinterlegt ist, u. neu angeschlossen, u. genau da liegt das Problem, das Win bei gesperrten System die neue gefakte Hardware akzeptiert u. das System mit dem gespeicherten Bild entsperrt
 
Das dürfte der bisher schlechteste Artikel des Jahres sein

Man spürt förmlich in jeder Zeile, dass der niedere Schreiberling die durch ihn abgetippte Quelle nicht verstanden hat
 
Selbst wenn Windows nur die Kamera mit einer bestimmten ID zulässt, so ließe sich das System aushebeln.
Dazu wäre dann aber etwas mehr Aufwand nötig. Die gefakte Hardware müsste dann die gleiche ID haben wie die eingebaute Kamera. Man müsste also erst die ID der eingebauten Kamera in Erfahrung bringen und die eingebaute Kamera deaktivieren, damit es keinen Konflikt der IDs gibt.
 
Das dürfte der bisher schlechteste Artikel des Jahres sein

Man spürt förmlich in jeder Zeile, dass der niedere Schreiberling die durch ihn abgetippte Quelle nicht verstanden hat
Ich hab mir grad mal das originale Paper durchgelesen und bin geschockt was hier daraus gemacht wurde.
Unabhängig davon dass hier im Luxx eh schon meist Tage später über etwas berichtet wird und dabei meist nur stumpf abgeschrieben wird lässt man dann solche Chancen auch noch komplett liegen und rotzt so etwas dahin.
Wenn das euer journalistischer Anspruch ist dann lasst es doch bitte lieber gleich sein und haut einfach nur noch gesponserte Werbung raus.
 
Zuletzt bearbeitet:
Wäre es da nicht einfach möglich das System so einzurichten, dass es keine neu angeschlossenen biometrischen Geräte akzeptiert, die im gesperrten Zustand angeschlossen werden? Klar kann man der neu angeschlossenen "Kamera" die selbe ID wie der bereits eingebauten geben, aber da Windows durchaus auch in der Lage ist die Anschlüsse zuzuorden sollte man doch meinen, dass das nicht so schwierig sein dürfte, oder?
 
Im ersten Moment könnte das eine Lösung sein. Im gesperrten Zustand einfach keine keine neuen Windows Hello Geräte mehr zulassen.
Damit bliebe zumindest nur noch die Möglichkeit offen im Vorfeld einen Stick am Gerät anzuschließen um dann bei Abwesenheit des Nutzers Zugriff zu bekommen.
Damit wäre der Zeitraum in dem der Eindringling wirklich Zugang zum Gerät benötigt wesentlich länger was eine solche Attacke etwas unwahrscheinlicher macht.
Es würde halt leider bedeuten dass man im Falle eine Dockingstation mit externer Kamera jedes Mal nachdem man das Notebook getrennt hat das PW eingeben müsste.
 
Selbst wenn Windows nur die Kamera mit einer bestimmten ID zulässt, so ließe sich das System aushebeln.
Dazu wäre dann aber etwas mehr Aufwand nötig. Die gefakte Hardware müsste dann die gleiche ID haben wie die eingebaute Kamera. Man müsste also erst die ID der eingebauten Kamera in Erfahrung bringen und die eingebaute Kamera deaktivieren, damit es keinen Konflikt der IDs gibt.
Es war mal eine Idee des USB Standards dass die IDs einzigartig sind. Nur ist in der Praxis auch schon ohne böse Absicht nichts daraus geworden. Unter Win XP gab es meines Wissens nach dadurch mal Probleme wenn man zwei Geräte mit der selben ID gleichzeitig verwenden wollte. Seitdem assoziert Windows die ID zusätzlich mit einer ID des USB Ports ansich.
Zumindest sofern richtig implementiert, sollte das System die Manipulation auch erkennen können selbst wenn die originale Kamera im Notebook irgendwie deaktiviert wurde.
Für Desktops PCs wo man am den selben USB Port seine manipulierte cam anschliessen kann, hilft das wohl nicht.
100% sicher wäre das wohl nur wenn man die Hardware ab Werk aufeinander einstellt so wie es Apple im iphone macht. Blöderweise hat das den Nachteil dass man dann beide Komponenten wegschmeissen muss wenn eines ausfällt.
 
Zuletzt bearbeitet:
Tja, bei den billigen Konsumerlösungen fehlen meist Features.
Bei Fingerabdrucksensoren fehlt z.B. oft die Lebenderkennung.
Fingerabdrucksensoren mit Lebenderkennung kann man nicht mit abgeschnittenen Fingern oder Kopien aus dem 3D-Drucker überlisten.
Und Fingerabdruck mit dem 3D-Drucker drucken scheitert schon an der erheblich zu geringen Druckauflösung selbst teurer 3D-Drucker.
Auch die Gesichtserkennung könnte man deutlich sicherer machen, z.B., indem man prüft, ob man da tatsächlich ein echtes Gesicht vor sich hat oder ein Bild.
Ginge z.B. mit einem Wärmebild.
Aber solche Features kosten Geld, weshalb sie meist bei Konsumerlösungen weggelassen werden.
Und damit werden diese Konsumerlösungen deutlich unsicherer, als es mit der Technik möglich wäre.

Und diese ganzen teuren Lösungen braucht es für den "einfachen Consumer" aber auch nicht.

Den Aufwand, um die jetzigen Lösungen zu überlisten, wird sich kaum jemand machen um deine Fotos deiner Frau zu bekommen.

Grüße
 
Die Intention von Apple ist aber wohl auch nicht nur Sicherheit. ;)
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh