Система аутентификации по отпечаткам пальцев подвержена уязвимости

Discussion in 'Мировые новости. Обсуждения.' started by Suicide, 11 Oct 2012.

  1. Suicide

    Suicide Super Moderator
    Staff Member

    Joined:
    24 Apr 2009
    Messages:
    2,373
    Likes Received:
    6,619
    Reputations:
    693
    Система аутентификации по отпечаткам пальцев подвержена уязвимости


    Независимые ИТ-консультанты говорят об обнаружении серьезной уязвимости, из-за которой хакеры даже средней руки могут получить доступ к Windows-паролям на компьютерах Dell, Acer и 14 других производителей. Уязвимость была обнаружена в нескольких версиях программного обеспечения UPEK Protector Suite для считывания отпечатков пальцев и последующей авторизации на машине.

    В июле этого года компания Apple заплатила 356 млн долларов за покупку Authentec, разработчика технологии UPEK. Обнаруженная уязвимость впервые была детектирована в сентябре, но Apple по-прежнему заявляет, что еще работает над исправлением для бага, кроме того, технологией UPEK по ранее достигнутым соглашениям начали пользоваться и многие другие производители, которые также оказываются под ударом.

    Приложение UPEK долгое время считалось безопасным и позволяло проводить аутентификацию в операционной системе при помощи отпечатков пальцев пользователя. В прошлом месяце российская Elcomsoft, специализирующаяся на технологиях взлома паролей, предупредила, что данная программа не является достаточно безопасной, так как она хранит пароли для пользовательских аккаунтов в системном реестре Windows и защищает их при помощи ключа, который довольно легко взломать. В итоге, всего за несколько секунд у потенциального взломщика есть возможность вскрыть реальный пароль.

    Пароли со слабым алгоритмом шифрования хранятся в ветке реестра HKEY_LOCAL_MACHINE\Software\Virtual Token\Passport\. На днях в интернете также появилось открытое программное обеспечение для взлома UPEK-паролей без каких-либо манипуляций. "Технически, вы должны иметь доступ к реестру, но если у вас есть физический доступ к машине, его не сложно получить. Это можно сделать даже без доступа, если целевой компьютер входит в корпоративную сеть с какой либо LDAP-технологией", - говорит Брайен Уилсон, один из разработчиков системы взлома.

    По его словам, все версии приложений UPEK Protector Suite используют ту же систему и подвержены угрозе. В качестве временного решения проблемы эксперты предлагают отказаться от использования UPEK до выхода исправления. На сегодня компании Amoi, Asus, Clevo, Compal, Dell, Gateway, IBM/Lenovo, Itronix, MPC, MSI, NEC, Sager, Samsung, Sony и Toshiba применяют систему UPEK.

    10.10.2012
    http://www.cybersecurity.ru/crypto/161843.html​
     
    _________________________
    #1 Suicide, 11 Oct 2012
(You must log in or sign up to post here.)