Weitverbreitete Software zur Anmeldung via Fingerabdruck gibt Passwörter preis

MobileNotebookSicherheitSicherheitsmanagement
(Bild: shutterstock / peshkova)

Die Sicherheitslücke in der Software der Apple-Tochter AuthenTec ist seit Ende August bekannt. Mittlerweile ist Beispielcode für einen Exploit im Internet im Umlauf. Das unzuverlässige Programm kommt auf Laptops von Acer, Asus, Dell, Lenovo, Samsung, Sony und Toshiba zum Einsatz.

Sicherheitsforscher haben eine Sicherheitslücke in einer auf Windows-PCs eingesetzten Fingerabdruck-Software der Apple-Tochter AuthenTec entdeckt. Sie erlaubt es, das Passwort eines Nutzers auszulesen. Wie Ars Technica berichtet, benötigt ein Angreifer dafür allerdings einen direkten Zugriff auf den anzugreifenden Rechner.

(Bild: shutterstock / peshkova)

Apple hatte das australische Unternehmen AuthenTec, das Hardware und Software für die Erkennung von Fingerabdrücken anbietet, im Juli für 356 Millionen Dollar übernommen. AuthenTec stellt neben Sensoren und den zugehörigen Anwendungen auch eingebettete Sicherheitsgeräte wie Fingerabdruckleser her.

Der Fehler steckt in der Fingerabdruck-Software UPEK, die AuthenTec 2010 selbst zugekauft hat. Obwohl die Anwendung als sichere Anmeldemethode für Windows-PC beworben wird, vereinfacht sie es, ein mit einem Fingerabdruck verbundenes Passwort zu extrahieren. Unter anderem kommt die Software auf Laptops von Acer, Asus, Dell, Gateway, Lenovo, MSI, NEC, Samsung, Sony und Toshiba zum Einsatz.

Ende August hatte das russische Softwareunternehmen Elcomsoft erstmals auf die Schwachstelle hingewiesen. Es bezeichnete sie als “Glied aus Papier in einer Stahlkette“. Die UPEK-Software speichert das Passwort eines Nutzers nur schwach verschlüsselt in der Windows-Registrierung. Der Sicherheitsforscher Adam Caudill hat den Fehler inzwischen nachvollziehen können und Beispielcode für einen Exploit veröffentlicht.

Unklar ist, wann ein Update zur Verfügung stehen wird, mit dem das Problem behoben werden kann. Apple, als neuer Eigentümer von AuthenTec, hat sich wie von der Firma gewohnt bisher weder nicht zu dem Sachverhalt geäußert oder die Verantwortung dafür übernommen. Ars Technica weist allerdings darauf hin, dass das Windows-Passwort nicht in der Registrierung abgelegt wird, wenn die UPEK-Software nicht aktiviert wurde. Das Abschalten der Software alleine reiche jedoch nicht, um es wieder zu löschen. Dafür müsse das Nutzerkonto aus UPEK entfernt werden.

[mit Material von Zack Whittaker, ZDNet.com]