Sicherheitsforscher haben eine Sicherheitslücke in einer auf Windows-PCs eingesetzten Fingerabdruck-Software der Apple-Tochter AuthenTec entdeckt. Sie erlaubt es, das Passwort eines Nutzers auszulesen. Wie Ars Technica berichtet, benötigt ein Angreifer dafür allerdings einen direkten Zugriff auf den Computer seines Opfers.
Apple hatte das australische Unternehmen, das Hardware und Software für die Erkennung von Fingerabdrücken anbietet, im Juli für 356 Millionen Dollar übernommen. AuthenTec stellt neben Sensoren und den zugehörigen Anwendungen auch eingebettete Sicherheitsgeräte wie Fingerabdruckleser her.
Der Fehler steckt in der Fingerabdruck-Software UPEK, die AuthenTec selbst 2010 zugekauft hat. Obwohl die Anwendung als sichere Anmeldemethode für einen Windows-PC beworben wird, vereinfacht sie es, ein mit einem Fingerabdruck verbundenes Passwort zu extrahieren. Unter anderem kommt die Software auf Laptops von Acer, Asus, Dell, Gateway, Lenovo, MSI, NEC, Samsung, Sony und Toshiba zum Einsatz. Lenovo bietet sie unter dem Namen ThinkVantage an.
Ende August hatte das russische Softwareunternehmen Elcomsoft, das auch ein zertifizierter Microsoft-Partner ist, erstmals auf die Schwachstelle hingewiesen. Es bezeichnete sie als „Glied aus Papier in einer Stahlkette„. Die UPEK-Software speichert das Passwort eines Nutzers nur sehr schwach verschlüsselt und nahezu in Klartext in der Windows-Registrierung. Der Sicherheitsforscher Adam Caudill hat den Fehler inzwischen unabhängig von Elcomsoft nachvollziehen können und Beispielcode für einen Exploit veröffentlicht.
Unklar ist, wann ein Update zur Verfügung stehen wird, das das Sicherheitsloch stopft. Apple hat sich als neuer Eigentümer von AuthenTec bisher nicht zu der Anfälligkeit geäußert oder die Verantwortung dafür übernommen. Ars Technica weist allerdings darauf hin, dass das Windows-Passwort nicht in der Registrierung abgelegt wird, wenn die UPEK-Software nicht aktiviert wurde. Das Abschalten der Software alleine reiche jedoch nicht, um es wieder zu löschen. Dafür müsse das Nutzerkonto aus UPEK entfernt werden.
[mit Material von Zack Whittaker, ZDNet.com]
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…