Fingerabdruck-Software von Apple-Tochter gibt Passwörter preis

Sicherheitsforscher haben eine Sicherheitslücke in einer auf Windows-PCs eingesetzten Fingerabdruck-Software der Apple-Tochter AuthenTec entdeckt. Sie erlaubt es, das Passwort eines Nutzers auszulesen. Wie Ars Technica berichtet, benötigt ein Angreifer dafür allerdings einen direkten Zugriff auf den Computer seines Opfers.

Apple hatte das australische Unternehmen, das Hardware und Software für die Erkennung von Fingerabdrücken anbietet, im Juli für 356 Millionen Dollar übernommen. AuthenTec stellt neben Sensoren und den zugehörigen Anwendungen auch eingebettete Sicherheitsgeräte wie Fingerabdruckleser her.

Der Fehler steckt in der Fingerabdruck-Software UPEK, die AuthenTec selbst 2010 zugekauft hat. Obwohl die Anwendung als sichere Anmeldemethode für einen Windows-PC beworben wird, vereinfacht sie es, ein mit einem Fingerabdruck verbundenes Passwort zu extrahieren. Unter anderem kommt die Software auf Laptops von Acer, Asus, Dell, Gateway, Lenovo, MSI, NEC, Samsung, Sony und Toshiba zum Einsatz. Lenovo bietet sie unter dem Namen ThinkVantage an.

Ende August hatte das russische Softwareunternehmen Elcomsoft, das auch ein zertifizierter Microsoft-Partner ist, erstmals auf die Schwachstelle hingewiesen. Es bezeichnete sie als „Glied aus Papier in einer Stahlkette„. Die UPEK-Software speichert das Passwort eines Nutzers nur sehr schwach verschlüsselt und nahezu in Klartext in der Windows-Registrierung. Der Sicherheitsforscher Adam Caudill hat den Fehler inzwischen unabhängig von Elcomsoft nachvollziehen können und Beispielcode für einen Exploit veröffentlicht.

Unklar ist, wann ein Update zur Verfügung stehen wird, das das Sicherheitsloch stopft. Apple hat sich als neuer Eigentümer von AuthenTec bisher nicht zu der Anfälligkeit geäußert oder die Verantwortung dafür übernommen. Ars Technica weist allerdings darauf hin, dass das Windows-Passwort nicht in der Registrierung abgelegt wird, wenn die UPEK-Software nicht aktiviert wurde. Das Abschalten der Software alleine reiche jedoch nicht, um es wieder zu löschen. Dafür müsse das Nutzerkonto aus UPEK entfernt werden.

[mit Material von Zack Whittaker, ZDNet.com]

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

19 Stunden ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

19 Stunden ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

1 Tag ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

2 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

2 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

2 Tagen ago