Fingerprint-Reader: Apple-Software gefährdet Windows-Umgebungen

“Weil sich ein Hacker einfach Zugang zu einem Windows-Passwort verschaffen kann, können Angriffe über die Schwachstelle sehr viel schneller von Rechner zu Rechner ausgeweitet werden”, schreibt Sicherheitsforscher Adam Caudill in seinem Blog.

Die Lücke steckt in der Software UPEK Protector Suite und wurde bereits vor einem Monat von Elcomsoft entdeckt. Die russische Softwarefirma hatte damals keine Details zu der Schwachstelle genannt. Die Aussage, dass das Problem “das gesamte Sicherheitsmodell von Windows-Accounts” betreffe, sorgte unter Sicherheitsexperten aber für Aufsehen und weitere Nachforschungen. Wörtlich sprach Elcomsoft damals von einem “Glied aus Papier in einer Stahlkette”.

Die Frage, ob das tatsächlich das “gesamte Sicherheitsmodell” betroffen ist, beantwortet Caudill jetzt mit “Ja und Nein”. Einerseits müsse ein Hacker bereits als Local Admin die Kontrolle über einen Rechner haben, um das Windows-Passwort abzugreifen, das mit dem Fingerprint-Reader verknüpft ist. Andererseits aber speichere die UPEK-Software das Passwort nur äußerst schwach verschlüsselt und nahezu im Klartext in der Windows-Registrierung.

Einmal im System öffne das Angreifer Tür und Tor, vermutlich auch zu anderen Systemen, da viele Passwörter oft mehrmals verwendet würden. Gemeinsam mit dem Kollegen Brandon Wilson hat Caudill einen Proof-of-Concept veröffentlicht.

Zu den Laptop-Herstellern, die die UPEK-Software einsetzen gehören unter anderem Acer, ASUS, Dell, Gateway, Lenovo, MSI, NEC, Samsung, Sony und Toshiba. Lenovo bietet sie unter dem Namen ThinkVantage an. Hergestellt wird die Lösung von dem australischen Unternehmen AuthenTec – im Juli erst hatte Apple die Firma für 356 Millionen Dollar übernommen.

Unklar ist, wann ein Update zur Verfügung stehen wird, das das Sicherheitsloch stopft. Apple hat sich als neuer Eigentümer von AuthenTec bisher nicht zu der Anfälligkeit geäußert oder die Verantwortung dafür übernommen. Ars Technica weist allerdings darauf hin, dass das Windows-Passwort nicht in der Registrierung abgelegt wird, wenn die UPEK-Software nicht aktiviert wurde. Das Abschalten der Software alleine reiche jedoch nicht, um es wieder zu löschen. Dafür müsse das Nutzerkonto aus UPEK entfernt werden.

Die clientbasierte biometrische Authentifizierung gilt aktuell als Lösung des Passwort-Dilemmas. Das Problem mit Passwörtern ist, dass wir zu viele davon brauchen, die komplexen Regeln genügen und sich von Website zu Website unterscheiden müssen”, sagte kürzlich Intel-Forscher Sridhar Iyendar. Der Chip-Hersteller hat deshalb kürzlich eine Methode zu Handflächenerkennung vorgestellt. Das Verfahren funktioniere deutlich besser als die Fingerabdruck-Erkennung, die bei Business-Notebooks verbreitet ist. Branchenbeobachter gehen davon aus, dass Apple nach der Übernahme von AuthenTec ein ähnliches Verfahren vorbereitet.

[Mit Material von Zack Whittaker, ZDNet.com und
John Fontana, ZDNet.com]

Redaktion

Recent Posts

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

18 Stunden ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

23 Stunden ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

24 Stunden ago

Hagebau erreicht E-Mail-Sicherheit mit der NoSpamProxy Cloud

Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…

2 Tagen ago

Rechenzentrumsnetzwerke als Schlüssel für Desaster Recovery

Huawei Connect Paris: Innovationen rund um Data Center, Storage und IT-Sicherheit.

2 Tagen ago

Cybersecurity mit KI: Strategischer Vorteil oder Sicherheitsrisiko?

Mit KI optimieren Hacker ihre Angriffsversuche. Ist CIAM eine Lösung, mit der sich Unternehmen vor…

2 Tagen ago