. Последнее обновление сайта было в 06:11

  

Система аутентификации по отпечаткам пальцев подвержена уязвимости

(07:10) 10.10.2012
 +
шрифт
 -

// CyberSecurity.ru // - Независимые ИТ-консультанты говорят об обнаружении серьезной уязвимости, из-за которой хакеры даже средней руки могут получить доступ к Windows-паролям на компьютерах Dell, Acer и 14 других производителей. Уязвимость была обнаружена в нескольких версиях программного обеспечения UPEK Protector Suite для считывания отпечатков пальцев и последующей авторизации на машине.

В июле этого года компания Apple заплатила 356 млн долларов за покупку Authentec, разработчика технологии UPEK. Обнаруженная уязвимость впервые была детектирована в сентябре, но Apple по-прежнему заявляет, что еще работает над исправлением для бага, кроме того, технологией UPEK по ранее достигнутым соглашениям начали пользоваться и многие другие производители, которые также оказываются под ударом.

Приложение UPEK долгое время считалось безопасным и позволяло проводить аутентификацию в операционной системе при помощи отпечатков пальцев пользователя. В прошлом месяце российская Elcomsoft, специализирующаяся на технологиях взлома паролей, предупредила, что данная программа не является достаточно безопасной, так как она хранит пароли для пользовательских аккаунтов в системном реестре Windows и защищает их при помощи ключа, который довольно легко взломать. В итоге, всего за несколько секунд у потенциального взломщика есть возможность вскрыть реальный пароль.

Пароли со слабым алгоритмом шифрования хранятся в ветке реестра HKEY_LOCAL_MACHINE\Software\Virtual Token\Passport\. На днях в интернете также появилось открытое программное обеспечение для взлома UPEK-паролей без каких-либо манипуляций. "Технически, вы должны иметь доступ к реестру, но если у вас есть физический доступ к машине, его не сложно получить. Это можно сделать даже без доступа, если целевой компьютер входит в корпоративную сеть с какой либо LDAP-технологией", - говорит Брайен Уилсон, один из разработчиков системы взлома.

По его словам, все версии приложений UPEK Protector Suite используют ту же систему и подвержены угрозе. В качестве временного решения проблемы эксперты предлагают отказаться от использования UPEK до выхода исправления. На сегодня компании Amoi, Asus, Clevo, Compal, Dell, Gateway, IBM/Lenovo, Itronix, MPC, MSI, NEC, Sager, Samsung, Sony и Toshiba применяют систему UPEK.


Код для вставки в блог:


Оставьте свой комментарий

Чтобы оставлять комментарии, Вам нужно ВОЙТИ или ЗАРЕГИСТРИРОВАТЬСЯ

Новостная лента