Microsofts Fingerprint Reader gehackt
Bereits seit September 2004 liefert Microsoft den so genannten Fingerprint Reader, ein Authentifizierungs-Gerät für PCs, aus. Werbung für den Einsatz des Produkts in sicherheitsrelevanten Bereichen hat das Unternehmen dabei nie gemacht. Ein Sicherheitsexperte des finnischen Militärs hat sich angeschaut warum dies so ist.
Obwohl der Fingerprint Reader nicht autorisierte Personen davon abhalten kann, sich am PC einzuloggen, hat Microsoft dieses Produkt nie für sicherheitsrelevante Bereiche empfohlen, stattdessen sollten Anwender dieses Feature nur als Komfortelement ansehen und nutzen - um sich nicht Dutzende von Passwörtern merken zu müssen und schnell auf Web-Seiten einloggen zu können. Ja, Microsoft warnt sogar ausdrücklich in dem "How To Guide" zum Fingerprint Reader (siehe Ausschnitt rechts) davor, den Fingerprint Reader für sicherheitsrelevante Bereiche zu benutzen.
Dem ist nun der Mikko Kiviharju, Forscher bei den Finnish Defense Forces, nachgegangen. Auf der Black Hat Europe präsentiert der Wissenschaftler seine Ergebnisse. Die Kernaussage: Der Fingerprint Reader von Microsoft verschlüsselt den Fingerabdruck (= Fingerprint Image) nicht.
Da das Fingerprint Image unverschlüsselt vom Fingerprint Reader an den PC übertragen wird, kann es dementsprechend leicht entwendet werden. Beispielsweise mit einem Sniffer, so Kiviharju. Um den Fingerabdruck dann weiter zu verwenden, ist den Ausführungen von Kiviharju zufolge dann aber wieder wesentlich mehr technisches Wissen erforderlich.
Was den Forscher und einige Kollegen noch mehr verwundert hat: Ihren Analysen zufolge, hätte Microsoft die Verschlüsselung mit einigen wenigen Änderungen an der Firmware des Produkts aktivieren könnte. "Das hat einige der Experten, die mich kontaktiert haben, ebenfalls sehr verblüfft“, erklärte Kiviharju. "Es ist ein ziemlich anständiges Produkt, aber irgendwie hat Microsoft es geschafft, es zu vermasseln."
Microsoft hat die Technologie für den Fingerprint Reader von der in Redwood City, Kalifornien, ansässigen Firma Digital Persona Inc. lizenziert. Digital Persona stellt ein ähnliches Produkt her - namens U.are.U 4000 -, das die Fingerprint Images allerdings verschlüsselt.
Der Ansicht eines Sicherheitsspezialist zufolge könnte die Einstellung für die Verschlüsselung auch Teil der Lizenzbedingungen sein. Indem eine Version des Produkts geschaffen wurde, das nicht auf die Sicherheit fokussiert ist, könnten Microsoft und Digital Persona sicherstellen, dass die Produkte der beiden Firmen nicht gegeneinander konkurrieren, so Russ Cooper, Senior Information Security Analyst bei Cybertrust.
Microsoft war auf Anfragen des IDG News Service kein Kommentar zu entlocken. Digital Persona wollte die Entscheidung von Microsoft, das Feature abzuschalten, nicht kommentieren.
