Auf der Sicherheitskonferenz "Black Hat Europe" hat ein finnischer Sicherheitsspezialist demonstriert, wie Microsofts "Fingerprint Reader" ausgehebelt werden kann. Ursache des Problems ist die Tatsache, dass das Gerät das Bild des eingescannten Fingerabdrucks nicht verschlüsselt. Mit einer Reihe von Hard- und Software-Tools ist es möglich, diese Information abzufangen, wenn sie vom Scanner zum PC geschickt wird.
Hat ein Angreifer den Fingerabdruck erst einmal, kann er ihn nach Angaben von Mikko Kiviharju, der sich bei der finnischen Armee mit Security-Themen beschäftigt, dazu benutzen, um sich für das Opfer auszugeben. Dann ist es beispielsweise möglich, illegal auf Internet-Seiten oder E-Mail-Accounts zuzugreifen, die per Fingerabdruck gesichert sind.
Glücklicherweise ist diese so genannte "Replay-Attacke" nicht ohne weiteres umzusetzen: Sie erfordert, dass ein zweiter PC eine physikalische Verbindung mit dem Zielrechner hat. Vereinfacht wird sie jedoch dadurch, dass Microsoft keine Verschlüsselung für das Bild des Fingerabdrucks integriert hat, was aus Sicht von Kiviharju nur "geringfügige Änderungen" an der Firmware des Readers erfordern würde. Eigentlich sei es ein "ganz ordentliches" Gerät, das Microsoft jedoch "verpfuscht" habe.
Das ist umso erstaunlicher, wenn man bedenkt, dass die Redmonder den Reader von dem Hersteller Digital Persona lizenziert haben. Dessen Originalversion des Fingerabdruck-Lesegeräts "U.are 4000" verfügt über eine Verschlüsselungsfunktion. Möglicherweise lauten die Lizenzvereinbarungen dahingehend, dass Microsoft diese Sicherheitsfunktion nicht verwenden darf. Das würde auch erklären, warum Microsoft das Produkt nicht als Sicherheitslösung vermarktet, sondern als ein Tool, das Einlog-Prozesse vereinfachen soll. Der Hersteller weist auf den Produktseiten im Internet ausdrücklich darauf hin, dass es nicht geeignet ist, um vertrauliche Daten zu schützen. Hierfür empfiehlt der Hersteller "weiterhin starke Passwörter". (ave)