Sicherheitsforscher haben eine Sicherheitslücke in einer auf Windows-PCs eingesetzten Fingerabdruck-Software der Apple-Tochter AuthenTec entdeckt. Sie erlaubt es, das Passwort eines Nutzers auszulesen. Wie Ars Technica berichtet, benötigt ein Angreifer dafür allerdings einen direkten Zugriff auf den Computer seines Opfers.
Apple hatte das australische Unternehmen, das Hardware und Software für die Erkennung von Fingerabdrücken anbietet, im Juli für 356 Millionen Dollar übernommen. AuthenTec stellt neben Sensoren und den zugehörigen Anwendungen auch eingebettete Sicherheitsgeräte wie Fingerabdruckleser her.
Der Fehler steckt in der Fingerabdruck-Software UPEK, die AuthenTec selbst 2010 zugekauft hat. Obwohl die Anwendung als sichere Anmeldemethode für einen Windows-PC beworben wird, vereinfacht sie es, ein mit einem Fingerabdruck verbundenes Passwort zu extrahieren. Unter anderem kommt die Software auf Laptops von Acer, Asus, Dell, Gateway, Lenovo, MSI, NEC, Samsung, Sony und Toshiba zum Einsatz. Lenovo bietet sie unter dem Namen ThinkVantage an.
Ende August hatte das russische Softwareunternehmen Elcomsoft, das auch ein zertifizierter Microsoft-Partner ist, erstmals auf die Schwachstelle hingewiesen. Es bezeichnete sie als „Glied aus Papier in einer Stahlkette„. Die UPEK-Software speichert das Passwort eines Nutzers nur sehr schwach verschlüsselt und nahezu in Klartext in der Windows-Registrierung. Der Sicherheitsforscher Adam Caudill hat den Fehler inzwischen unabhängig von Elcomsoft nachvollziehen können und Beispielcode für einen Exploit veröffentlicht.
Unklar ist, wann ein Update zur Verfügung stehen wird, das das Sicherheitsloch stopft. Apple hat sich als neuer Eigentümer von AuthenTec bisher nicht zu der Anfälligkeit geäußert oder die Verantwortung dafür übernommen. Ars Technica weist allerdings darauf hin, dass das Windows-Passwort nicht in der Registrierung abgelegt wird, wenn die UPEK-Software nicht aktiviert wurde. Das Abschalten der Software alleine reiche jedoch nicht, um es wieder zu löschen. Dafür müsse das Nutzerkonto aus UPEK entfernt werden.
[mit Material von Zack Whittaker, ZDNet.com]
Neueste Kommentare
4 Kommentare zu Fingerabdruck-Software von Apple-Tochter gibt Passwörter preis
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Jetzt mal locker bleiben. Im Text steht nicht „Apple gibt Passwörter preis“ sondern „Fingerabdruck-Software von Apple-Tochter gibt Passwörter preis“. Ein kleiner aber feiner Unterschied den Ihr beachten solltet bevor Ihr die journalistische Leistung beurteilt.
Und mal so ganz nebenbei: Da Apple das Unternehmen aufgekauft hat ist es auch der rechtliche Nachfolger und zwar ohne Einschränkungen. Es ist nicht von Interesse ob Apple die Sicherheitslücke verursacht hat oder nicht.
„Apple gibt Passwörter preis“
Was für eine Schlagzeile – und was steckt dahinter, eine Firma die von Apple übernommen wurde und Win Software herstellte.
Was hat das mit Apple zu tun ?
Schließe mich ganz und gar an. Journalistisch gesehen aller (!) unterstes Niveau.
So ist das nunmal mit aufgekauften Firmen. Da Apple der neue Eigentümer ist, sind die auch die Verantwortlichen. Bei all den anderen aufgekauften Firmen ist ja auch jeder schnell damit von Apple zu sprechen – auch wenn Apple „eigentlich nichts damit zu tun hat“ Es heißt „Apple’s SIRI“, „Apple’s Display“ Apple’s ….. Nur wenn damit was nicht in Ordnung ist, hat Apple plötzlich nichts damit zu tun?
Das hat schon was von Pipi Langstrumpf „…..ich mach mir die Welt, wiede wiede wie sie mir gefällt“