PC-Passwörter durch Fehler in Apple-eigenen Fingerabdruck-Software ausgesetzt

Ein Sicherheitsfehler in Fingerabdruck-Lesesoftware, jetzt im Besitz von Apple, die das Potenzial hat, Millionen von Windows-PC-Benutzern Passwörter ausgesetzt zu lassen, wurde unabhängig von Sicherheitsforschern überprüft.

Jeder Hacker mit physischer Kontrolle über den Computer einer Person kann Windows-Kontokennwörter aus dem System herausnehmen, berichtet Ars Technica.

Vendor’s biometrische Software kompromittiert “gesamte Sicherheitsmodell von Windows-Konten”

Apple kauft Fingerabdruck-Sensor Firma AuthenTec für $ 356 Millionen

Im Juli erwarb Apple die in Australien ansässige Herstellerfirma AuthenTec für 356 Millionen Dollar. Die Firma macht intelligente Sensoren und Management-Software, entlang iwth eingebettete Sicherheitsvorrichtungen einschließlich Fingerabdruckleser. (In einem separaten Kauf, Apple Anfang dieses Monats, eingefärbt ein Abkommen mit einem anderen australischen Firma Microlatch, die sehen können, das iPhone und iPad Maker entwickeln Fingerprint-Technologie für den Einsatz in Nahfeld-Kommunikation Anwendungen.

Aber Apple, das die Kontrolle über die Hardware und Software hat, muss noch eine Erklärung abgeben, Aktualisierungen veröffentlichen oder sogar anerkennen, dass es nun für den Fehler in seiner Software verantwortlich ist, der auf dem Betriebssystem seines Hauptrivalen verwendet wird.

Die UPEK-Fingerprint-Software, die 2010 von AuthenTec erworben wurde, enthält einen Fehler, der es ermöglicht, das Fingerabdruck-assoziierte Passwort einfacher zu knacken, obwohl die Software als sicheres Mittel zur Anmeldung in einem Windows-Rechner unter Verwendung eines biometrischen Fingerabdrucks vermarktet wird.

Viele Laptop-und PC-Hersteller verwenden die UPEK-Software, einschließlich: Acer, Asus, Dell, Gateway, Lenovo, MSI, NEC, Samsung, Sony und Toshiba. (Lenovo rebrand die UPEK-Software als ThinkVantage.)

Im August entdeckte Windows-Software-Entwickler und Microsoft-zertifizierter Partner Elcomsoft den Fehler in der UPEK-Software, und dubbing es eine “Papierverbindung zu einer Edelstahlkette.

Der Fehler existiert teilweise in Windows, indem das Benutzerkennwort “in der Windows-Registry fast im Klartext gespeichert, kaum verschlüsselt, aber nicht verschlüsselt ist”, sagte Olga Koksharova auf dem Elcomsoft-Blog. Die Sicherheitsforscher, die die Sicherheitsanfälligkeit bestätigten, sagten, dass “nah genug” und ausführlich waren, wo die Windows-Kennwörter in der Registrierung gespeichert werden.

Die Forscher haben nun Open-Source-Software freigegeben, die es Hackern ermöglicht, Windows-Rechner mit Fingerabdruck-Lesegeräten zu nutzen, die die APEK-Software enthalten.

Sie erklärten

Innovation, M2M-Markt springt zurück in Brasilien, Sicherheit, FBI verhaftet angebliche Mitglieder von Crackas mit Attitude für Hacking US gov’t Beamten, Security, WordPress fordert die Nutzer jetzt zu aktualisieren kritische Sicherheitslücken, Sicherheit, White House ernennt erste Bundesoberhäuptling Sicherheitsbeauftragter

Die ersten 24 Bytes sind Header- und Größeninformationen, nach den verschlüsselten Daten gibt es eine 4-Byte-Zahl, die die Anzahl der Bytes im nächsten Abschnitt anzeigt, werden die folgenden Bytes in der IV verwendet. Der Verschlüsselungsschlüssel wird mit einer PBKDF2-ähnlichen Funktion generiert, die MD5-Hashing verwendet, aber leider beim Speichern von Daten in der Registry verwenden sie kein Passwort – also das Ergebnis basiert rein auf einem MD5-Hash, den sie mit verwenden Einen “Samen” -Wert. Das bedeutet, dass der verwendete Schlüssel immer der gleiche ist.

Besser: Der Schlüssel ist nur 56 Bits.

Ars Technica stellt fest, dass Windows die Benutzerpasswörter in der Registrierung nicht speichert, wenn die UPEK-Software nicht verwendet oder aktiviert ist, es sei denn, der Benutzer gestattet dem Computer das Booten und Anmelden automatisch. Die Deaktivierung der Windows-Anmeldeaufforderung von der UPEK-Software entfernt jedoch nicht das Kennwort aus der Registrierung. Nur das Entfernen des Benutzerpasses aus der Software wird dies tun.

Hat die Website erreicht, um Apple und wir aktualisieren das Stück, wenn wir zurück hören.

Lesen Sie mehr

? M2M Markt springt zurück in Brasilien

FBI verhaftet angebliche Mitglieder von Crackas mit Haltung für das Hacken US gov’t Beamte

WordPress fordert Benutzer auf jetzt zu aktualisieren kritische Sicherheitslücken zu aktualisieren

White House ernennt ersten Chief Information Security Officer