Система аутентификации по отпечаткам пальцев подвержена уязвимости

Система аутентификации по отпечаткам пальцев подвержена уязвимости

В июле этого года компания Apple заплатила 356 млн долларов за покупку Authentec, разработчика технологии UPEK. Обнаруженная уязвимость впервые была детектирована в сентябре, но Apple по-прежнему заявляет, что еще работает над исправлением для бага, кроме того, технологией UPEK по ранее достигнутым соглашениям начали пользоваться и многие другие производители, которые также оказываются под ударом.

Приложение UPEK долгое время считалось безопасным и позволяло проводить аутентификацию в операционной системе при помощи отпечатков пальцев пользователя. В прошлом месяце российская Elcomsoft, специализирующаяся на технологиях взлома паролей, предупредила, что данная программа не является достаточно безопасной, так как она хранит пароли для пользовательских аккаунтов в системном реестре Windows и защищает их при помощи ключа, который довольно легко взломать. В итоге, всего за несколько секунд у потенциального взломщика есть возможность вскрыть реальный пароль.

Пароли со слабым алгоритмом шифрования хранятся в ветке реестра HKEY_LOCAL_MACHINESoftwareVirtual TokenPassport. На днях в интернете также появилось открытое программное обеспечение для взлома UPEK-паролей без каких-либо манипуляций. "Технически, вы должны иметь доступ к реестру, но если у вас есть физический доступ к машине, его не сложно получить. Это можно сделать даже без доступа, если целевой компьютер входит в корпоративную сеть с какой либо LDAP-технологией", - говорит Брайен Уилсон, один из разработчиков системы взлома.

По его словам, все версии приложений UPEK Protector Suite используют ту же систему и подвержены угрозе. В качестве временного решения проблемы эксперты предлагают отказаться от использования UPEK до выхода исправления. На сегодня компании Amoi, Asus, Clevo, Compal, Dell, Gateway, IBM/Lenovo, Itronix, MPC, MSI, NEC, Sager, Samsung, Sony и Toshiba применяют систему UPEK.

Источник:
CyberSecurity.ru