Vingerafdrukscanner Type Cover voor Surface Pro 8 heeft nauwelijks beveiliging

De Microsoft Type Cover voor de Surface Pro 8 en Pro X heeft nauwelijks beveiliging voor de vingerafdrukscanner. Dat claimen beveiligingsonderzoekers na onderzoek in opdracht van Microsoft zelf.

Microsoft Surface Pro Type Cover with Fingerprint ID
Microsoft Surface Pro Type Cover with Fingerprint ID

De Type Cover gebruikt geen authenticatie van de vingerafdrukscanner en gebruikt geen SDCP, het protocol dat Microsoft ontwikkelde om beveiligd in te loggen met biometrische sensors, concluderen de onderzoekers Jesse D'Aguanno en Timo Teräs. Bovendien stuurt het gegevens in cleartext via USB. De vingerafdrukscanner is te spoofen door een USB-apparaat met dezelfde PID in te pluggen, waardoor Windows denkt dat het gaat om een Type Cover. Vervolgens is het commando te geven dat de vingerafdruk correct is.

De Surface Type Cover heeft een sensor van ELAN en bleek het makkelijkste te omzeilen. Een Dell Inspiron 15 met een Goodix-sensor bleek ook slordige code te hebben. Die beveiliging was minder makkelijk te omzeilen. Met een man-in-the-middle-aanval bleek het mogelijk om de interne USB te vervangen voor een externe USB, waarna software het commando gaf om de vingerafdruk onder Windows te checken in de database voor Linux. De aanval bestond eruit een correcte vingerafdruk onder Linux aan te maken met hetzelfde ID als die onder het Windows-account waar de onderzoekers wilden binnendringen. Door de mitm-aanval verwees de USB de Windows-host naar de database van Linux en authenticeerde de gebruiker.

De Lenovo ThinkBook T14 heeft een Synaptics-sensor met een eigen TLS-implementatie voor het beveiligen van het sturen van informatie via USB. Die encryptie bleek te werken met het serienummer van de laptop en de productnaam. Na het breken van de encryptie bleek het mogelijk de vingerafdruk van de aanvaller te voorzien van het ID van de eigenlijke gebruiker, waarna Windows Hello ook de aanvaller zonder problemen binnenliet.

Alle aanvallen werken met fysieke toegang tot het apparaat en vereisen aanvullende hardware, waardoor het niet gaat om kritieke lekken die makkelijk te misbruiken zijn. Het risico voor thuisgebruikers van laptops lijkt daardoor relatief laag.

Windows Hello omzeilen, A Touch of Pwn, november 2023Windows Hello omzeilen, A Touch of Pwn, november 2023Windows Hello omzeilen, A Touch of Pwn, november 2023Windows Hello omzeilen, A Touch of Pwn, november 2023

Door Arnoud Wokke

Redacteur Tweakers

22-11-2023 • 20:26

41

Submitter: the_stickie

Reacties (41)

41
39
14
0
0
18
Wijzig sortering
Handig als de Politie dat ding in beslag neemt voor onderzoek.
Lijkt mij dat iemand die echt iets te verbergen heeft geen biometrische beveiliging gebruikt, gezien hier namelijk precedent voor is dat je verplicht/geforceerd wordt je apparaat te unlocken (in elk geval met mobiele telefoons, dus een iets grotere mobiele computer zal dan weinig verschil maken denk ik).
Je denkt aan de politie/justitie, maar dat is niet waar de meeste zakelijke klanten en privé personen bang voor zijn.
Aangezien dit als reactie was op dat het handig voor de politie was wel inderdaad. Verder ben ik het zeker met je eens dat het threat model voor de zakelijke wereld inderdaad anders is.
Als je bitlocker hebt op je Bootdrive heeft de politie (of eender wie) niets aan deze aanvallen.
Ze hebben zelf dus opdracht gegeven. Wat best goed is. Ze hebben een protocol hiervoor gemaakt wat dus niet door dit product gebruikt wordt. De combinatie van die twee lijkt wel op een interne discussie hierover? Wel een blunder natuurlijk.
De blunder is dat ze dit onderzoek niet ingesteld hebben VOOR ze een bagger product afleveren. Het feit dat je vingerafdruk systemen zo kan omzeilen is al jaren bekend.

De vorige iteratie van zowel vingerafdruk als camera systemen die rond Windows 7/8 uitkwamen waren gewoon SoC die true/false doorgeven aan de software (al dan niet plain text, maar replay attacks zijn mogelijk). Daarom dat ze betere protocol überhaupt uitgebracht hebben en ook waarom Apple niet simpelweg een goedkope sensor aan de bus hangt en ook waarom je encryptiesleutels nodig hebt om zulke hardware te vervangen.

Het feit dat niemand wist dat de oude producten in hun nieuwe systemen zitten is meer een probleem met overzicht en leiderschap van de productontwikkeling en het feit dat Windows er niet over klaagt dat je misschien je hardware moet upgraden naar een systeem dat nieuwe/betere protocollen ondersteunt is ook een probleem.

Microsoft moet imho meer agressief worden met hardware uit te sluiten van ondersteuning of luider te klagen als een systeem niet meekan. Als je vb. een oude PC hebt met Windows 10 is het goed mogelijk dat je vast zit aan 1809 omdat een driver niet meekan, maar Windows klaagt er niet over en ook Windows Update doet alsof ‘alles goed’ met je updates omdat het de laatste updates voor de hardware zijn. SCCM en een hele reeks dashboards van Microsoft (eg. AAD, InTune) klaagt er ook niet over, je moet al weten dat je vastzit door op te merken dat de build nummers niet meer omhoog gaan voor een klein deeltje van je vloot.

[Reactie gewijzigd door Guru Evi op 22 juli 2024 16:48]

Je hebt helemaal geen encryptie sleutel nodig.. laten we simpel beginnen en eens op tafel leggen dat een beveiligd apparaat niet moet luisteren naar een simpele "ok"/"niet ok", maar gewoon op zero trust basis bouwen en zorgen dat het apparaat gewoon de vinger scan data door stuurt naar de beveiligde omgeving (Windows), die vervolgens zelf de analyse doet. Idem met een foto, een agent die mij staande houd die vertrouwd mij toch ook niet als ik zeg "op mijn ID staat mijn foto! is ok!", die zal toch echt even mijn ID moeten zien en zelf bepalen of dat klopt.

Ja encryptie kan erbij om te zorgen dat bijvoorbeeld het verkeer niet afgeluisterd kan worden, dat kan simpelweg ook door een asymmetrische encryptie toe te passen, waarbij de sensor een publieke sleutel ontvangt bij initialisatie. Niks nodig vanaf de fabriek af, geen burn in nodig of wat dan ook. Kan gewoon op een manier waarbij het apparaat makkelijk te repareren is en de veiligheid ook gegarandeerd is.

Of zorgen via wetgeving dat alle apparaten via BIOS / firmware een ingebouwde methode hebben om gerepareerde apparaten te koppelen / functioneel te maken (na succesvolle unlock natuurlijk).

[Reactie gewijzigd door grasmanek94 op 22 juli 2024 16:48]

Dat is een beetje kort door de bocht. Als je een private sleutel initialiseert vanuit het OS moet de sleutel door de lijn en die kan dan afgeluisterd worden. Dus de sleutel moet al in de firmware zitten en je moet een protocol hebben niet alleen om sleutels uit te wisselen maar ook een beveiligde manier om de sleutel en firmware te vervangen. Je moet ook kunnen weten dat tussen het moment dat een product de lopende band verlaat en in jouw bedrijf terecht komt, dat er niets veranderd is voor ‘zero trust’. Dus je moet niet alleen de publieke sleutel in het apparaat maar ook de integriteit van de firmware en hardware van het apparaat kunnen meten voor je je eigen veranderingen wilt maken.

Als er ‘niets’ van de fabriek in zit, kan iemand tijdens de verscheping dus een ‘slechte’ firmware installeren die een goede firmware simuleert maar de private sleutels afgeeft. Het end-to-end beveiligen van firmware is mogelijk met oa TPM en SecureBoot waar je dus meet of de sleutel die je zelf ingesteld hebt klopt met wat de firmware heeft zonder de sleutel door te geven alsook het meten van firmware en hardware verbindingen, als er iets niet klopt (vb. systeem heeft stroom verloren, PCR6 in een Intel-platform TPM) dan kun je dat verder onderzoeken.

Via wetgeving is er niets te regelen, vooral niet internationaal, ofwel zit de functie die je wilt aan boord of je koopt het product niet, dat is simpel, de wet van kapitalisme.

[Reactie gewijzigd door Guru Evi op 22 juli 2024 16:48]

de wet van kapitalisme.
Die keer op keer in niemands voordeel werkt, behalve de mensen die geld binnen willen harken :/
Dus in mijn en jouw voordeel dan? Wilt iedereen geen geld binnen harken?
Als "consument" ben je niet in de positie om geld binnen te harken.
Tja, de 6 nummers per jaar die ik netto binnenhaal als ‘consument’ zegt anders.
Dat jij veel verdient, praat het alsnog niet goed dat bij defecten de enige mogelijkheid vaak is om een nieuw apparaat te kopen, ook al is er maar een defect van een onderdeel van 5 euro.
Het alternatief is het apparaat 50 euro duurder te maken. Je snapt echt niet hoe de markt in elkaar steekt, een onderdeel van 5 euro kost heus geen 5 euro als je ze moet opkopen, opslaan, onderhouden, verzenden en installeren.

Een gemiddelde elektronicus die bordjes kan onderzoeken en repareren kost 200 euro per uur, er is een markt voor, ik kan je een reeks referenties geven van mensen en bedrijven die je telefoon kunnen herstellen gelijk wat er mis mee is. Maar het gaat duurder zijn dan de telefoon zelf, veel van die bedrijven vragen een 500-2000 euro minimum (2-5u tijd) om maar te beginnen, dus het is het niet waard. Het is echter gemakkelijk om te klagen, maar er is niets speciaal aan vandaag’s systemen behalve dan dat ze spotgoedkoop zijn, waar jij van klaagt is dat de kosten voor een niche markt te groot zijn tov het systeem.

Als je een markt van 50 jaar geleden wilt, betaal dan gelijkaardig voor de computers en onderdelen van toen, een miljoentje neerleggen voor een 8MHz computer, dat kon je zelf herstellen. De TV kast van je grootouders, daar hebben ze ooit (inflatie aangepast) rond de 3000 euro voor neergelegd, voor een relatief klein scherm, zwart/wit en 6 kanalen die tussen de 4 en 8u per dag iets uitzenden. Vandaag kun je letterlijk voor onder 100 euro (Black Friday) een 32-55” plat scherm kopen met duizenden opties voor je nieuws, sport, allemaal 24/7 on-demand.

[Reactie gewijzigd door Guru Evi op 22 juli 2024 16:48]

Er is nog een hele reeks reparaties tussen "helemaal weg gooien" en je voorbeeld van specialistische spul, net niet van niveau "chip weg etchen van onderen, en de transistoren verbindingen aanpassen".

Mensen kunnen nog steeds prima iPhone 6 batterijen die origineel zijn kopen, en die is uit 2014.
20 euro.
Camera module? 5 euro.
Speaker? 4 euro.
Allemaal makkelijk zelf binnen een uurtje te vervangen, of betaal een ZZP'er even 40-60 euro en die doet het in een half uur. Idem voor andere apparaten die wel een fatsoenlijke supply chain hebben, met prima stock van reserveonderdelen.

Kan het? ja het kan.
Elk argument is tot nu toe gewoon een drogreden.
Planned obsolescence is alles behalve goed voor consumenten.
Niet iedereen heeft telkens het nieuwste nodig.

[Reactie gewijzigd door grasmanek94 op 22 juli 2024 16:48]

Okee, dus blijkbaar is er een markt voor onderdelen en herstellingen dat niet door Apple bediend wordt en je kunt naar gelijk welk winkelcentrum of kleine stad en een handelaar vinden die het kan doen tussen de $50 en $200 euro. Het origineel punt was dat je gelijk welk onderdeel wou kunnen herstellen, blijkbaar aanvaart de markt dat je grote onderdelen zoals een scherm of batterij kan halen. Wat is het probleem?

[Reactie gewijzigd door Guru Evi op 22 juli 2024 16:48]

Knap. Die scanners werken makkelijker als je ze omzeilt dan als je ze gebruikt op de manier waarvoor ze bedoeld zijn.
Ik denk niet dat je de moeite hebt genomen het bronartikel te bekijken - nochtans een aanrader!
De researchers hadden 3 maanden nodig om tot hardware specifieke aanvallen te komen. Die aanvallen vereisen heel specifieke kennis oa ivm de werking van USB (en vingerafdrukscanners), protocolanalyse, drivers, Linux en Windows,... Alles behalve makkelijk.

Bovendien is er langdurige fysieke toegang nodig, moet je (meestal) mogelijkheid hebben een ander OS te booten (geen secure boot dus) en moet je toegang hebben tot het loginscherm na een reboot (geen bitlocker op de Bootdrive dus)

[Reactie gewijzigd door the_stickie op 22 juli 2024 16:48]

Bitlocker op de bootdrive kan best hoor, tenzij bij de bitlocker ook een prelogon hoort maar dat is niet noodzakelijk.
Op de een of andere manier werken vingerafdruk scanners bij mij toch al vaak maar voor de helft ongeacht dan Android of Apple. Meerdere tablets en telefoons gehad maar het geen verschil uit maakte en ik zelden tot nooit direct bij de 1ste scan in kon loggen.

Daarentegen werkt gezichtsherkenning wel veelal prima zoals dan bij o.a. de Surface Pro maar ook nu bij mijn iPad Pro. Alleen verder geen idee hoe veilig dit is maar ik zou dus altijd voor gezichtsherkenning kiezen.
Vraag is of een module die op basis van een meting van je gezicht 'OK/Niet OK' doorgeeft veiliger is dan een module die op basis van een meting van je vingertop 'OK/Niet OK' doorgeeft...
Durf ik eerlijk gezegd ook niet te zeggen in hoeverre zo'n beveiliging dan wel of niet afdoende is maar puur voor mijn prive gebruik is dat verder ook niet echt belangrijk.
Zijn de genoemde vinger afdruk scanners wel goedgekeurd voor de huidige toegang zoals msWindows hello en zo? In dat geval mogen deze producten snel op de zwarte lijst.

Hier in huis heb ik een aantal oudere laptops met vingerafdrukscanner. Die wil beslist niet samenwerken met msWindows hello omdat ze niet veilig zouden zijn.
Cleartext in een security product🤦🏻/me is confused...
Cleartext zou kunnen werken met de juiste cryptografische zekerheden... die hier ook missen.

Allemaal een beetje jammer, je zou toch beter verwachten van Microsoft.
GertMenkel schreef onder meer:
Allemaal een beetje jammer, je zou toch beter verwachten van Microsoft.
Goodbye Windows Hello?

Een dief heeft, na toegang te hebben gekregen tot het lokale Windows-account van de eigenaar, met de gesimuleerde vingerafdruk ook toegang tot passkeys en andere credentials voor cloud-accounts en mogelijk bedrijfs-VPN's.

@arnoudwokke eindigde met:
Alle aanvallen werken met fysieke toegang tot het apparaat en vereisen aanvullende hardware, waardoor het niet gaat om kritieke lekken die makkelijk te misbruiken zijn. Het risico voor thuisgebruikers van laptops lijkt daardoor relatief laag.
Die aanvullende hardware is niet prijzig; Totyota Rav 4's worden ook veel gestolen sinds dieven eenvoudig aan apparaatjes kunnen komen die je op de koplampstekker aansluit. Zodra kits voor het bypassen van vinerafdrukscanners in specifieke notebooks beschikbaar zijn, kan het risico snel toenemen.

En thuisgebruikers kunnen ook thuiswerkers zijn, dat vergroot het risico voor bedrijven.

Bovendien, als drie van drie onderzochte apparaten gepwned kunnen worden lijkt mij dit een structureel probleem; ik ben benieuwd in hoeveel merken/types laptops dit wel veilig is geïmplementeerd.

Mijn advies is om in elk geval FDE (Full Disk Encryption) te gebruiken, voorzien van een sterk wachtwoord (desnoods een pincode). Als je ervoor zorgt dat de laptop niet in FDE-ontgendelde toestand gestolen kan worden, is het risico van het gebruik van een zwakke vingerafdrukscanner na het opstarten van Windows een stuk kleiner.
In zowat alles geef ik je gelijk maar in een ding net niet.
mogelijk bedrijfs-VPN's
Ja een kwaadwillende zou eventueel een username en adres hebben, maar ik mag hopen dat bedrijven kiezen voor een oplossing waar mensen voor de VPN moeten inloggen met een wachtwoord dat niet wordt opgeslagen en dat er ook MFA aan vast hangt.
Let op, ik praat hier over privé systemen waar de reactie over gaat.

Zakelijke systemen kunnen best SSO inloggen, mits ik hier weer behaalde security baselines worden gehanteerd. (Per bedrijf, functie dient goed gekeken te worden op welke locaties, onder welke voorwaarde wel of niet van bepaalde diensten gebruik gemaakt kan worden)
Anoniem: 1576590 @JBVisual23 november 2023 11:17
Door JBVisual:
[...] ik mag hopen dat bedrijven kiezen voor een oplossing waar mensen voor de VPN moeten inloggen met een wachtwoord dat niet wordt opgeslagen en dat er ook MFA aan vast hangt.
Los van of er daadwerkelijk bedrijfs-VPN's zijn die op een vingerafdruk vertrouwen: Windows Hello wordt als 2FA beschouwd, namelijk something you have (laptop) en something you are (vingerafdruk).

Wat daar zelden bij vermeld wordt, zijn de voorwaarden voor alle factoren: niet (eenvoudig) gestolen, gekopieerd, afgekeken, gesimuleerd, geraden, ge-brute-forced, omzeild etc. kunnen worden.

@mutley69 heeft een punt, maar de meeste mensen gebruiken waardeloze wachtwoorden.

Des te schandaliger dat Microsoft roept dat Windows Hello de oplossing is voor zwakke wachtwoorden, maar dat zij zelf de daarvoor noodzakelijke techniek niet afdwingen.

Meestal wordt uitsluitend getest of authenticatie goed werkt, maar dat is nauwelijks relevant als impersonatie mogelijk is - wat het onderzoek van Blackwing hier uitwees.
Totyota Rav 4's worden ook veel gestolen sinds dieven eenvoudig aan apparaatjes kunnen komen die je op de koplampstekker aansluit.
wist niet dat dit een ding was. Interessant leesvoer: https://kentindell.github.io/2023/04/03/can-injection/

Wat dat betreft kun je beter een 'domme' auto hebben,
De makers van IIS, SharePoint, SQL Server, Windows ME, RDP, Internet Explorer, ActiveX en VBScript… nee, ik verwacht niets beter ivm beveiliging.
Wat heeft de Lenovo hiermee te maken? Werd die ook in opdracht van MS onderzocht?
Letterlijk de eerste zin in het bronartikel.
Het is een heel onduidelijk artikel, want het gaat niet alleen over de vingerafdrukscanner van die Type Cover alleen, zoals de titel suggereert. Ze beginnen halverwege met andere vingerafdrukscanners die ook onderzocht zijn.
Ik heb ook een surface keyboard met vingerscanner en super handig op snel op te starten en kan me niet zo druk maken over beveiliging en spoof. werk voornamelijk alleen in de cloud en via bedrijfs VPN.

Als men info wil dan zullen ze die laptop niet gaan spoofen op locatie, maar meenemen en dan komen ze er ongetwijlfeld wel ook zonder dat spoofen. 99% die dat ding jat zal wel een gelegenheids dief zijn en windows er op herinstalleren ;)
Het bewijst mijn stelling dat iets wat zichtbaar of waarneembaar is - niet kan gebruikt worden als basis voor een paswoordvervanger. Biometrie is gewoon de kunst om bedrogen te worden, laat u dit niet aansmeren het is gewoon niet veilig te krijgen door de aard van de beveiliging op zich. Dat moeten jullie nu toch maar 's goed over nadenken als pers. Het is toch de logica zelf dat iets wat waarneembaar is - geen wachtwoordvervanger kan zijn, of deel kan uitmaken van de beveiligingsoplossing - het kan maximaal het userid vervangen.
Hoe goed men het ook implementeert, het zal altijd kunnen omzeild worden en afhankelijk van de implementatie zal de lat iets hoger liggen bij de ene implementatie dan bij de andere.
Voor Microsoft is dit wellicht niet eens een (belangrijke) vulnerability. Tenslotte is er uitgebreide fysieke toegang tot de computer nodig en werkt dit niet als de bootdisks encrypted is met (bijvoorbeeld) bitlocker. Voor deze aanvallen moet je immers sowieso rebooten en toegang hebben tot het loginscherm.
De 'security boundries' zijn hier de fysieke toegang en bitlocker.

Het oorspronkelijke artikel is wél zeer interessant. Het biedt relatief diepgaande informatie over hoe de beveiliging van zo'n fingerprintreader werkt (of zou moeten werken)

Op dit item kan niet meer gereageerd worden.