Fingerabdruck-Software von Apple-Tochter gibt Passwörter preis

Die Lücke ist seit Ende August bekannt. Inzwischen ist Beispielcode für einen Exploit frei im Internet verfügbar. Die Software von AuthenTec kommt auf Laptops von Acer, Asus, Dell, Lenovo, Samsung, Sony und Toshiba zum Einsatz.

Sicherheitsforscher haben eine Sicherheitslücke in einer auf Windows-PCs eingesetzten Fingerabdruck-Software der Apple-Tochter AuthenTec entdeckt. Sie erlaubt es, das Passwort eines Nutzers auszulesen. Wie Ars Technica berichtet, benötigt ein Angreifer dafür allerdings einen direkten Zugriff auf den Computer seines Opfers.

Hacker

Apple hatte das australische Unternehmen, das Hardware und Software für die Erkennung von Fingerabdrücken anbietet, im Juli für 356 Millionen Dollar übernommen. AuthenTec stellt neben Sensoren und den zugehörigen Anwendungen auch eingebettete Sicherheitsgeräte wie Fingerabdruckleser her.

Der Fehler steckt in der Fingerabdruck-Software UPEK, die AuthenTec selbst 2010 zugekauft hat. Obwohl die Anwendung als sichere Anmeldemethode für einen Windows-PC beworben wird, vereinfacht sie es, ein mit einem Fingerabdruck verbundenes Passwort zu extrahieren. Unter anderem kommt die Software auf Laptops von Acer, Asus, Dell, Gateway, Lenovo, MSI, NEC, Samsung, Sony und Toshiba zum Einsatz. Lenovo bietet sie unter dem Namen ThinkVantage an.

Ende August hatte das russische Softwareunternehmen Elcomsoft, das auch ein zertifizierter Microsoft-Partner ist, erstmals auf die Schwachstelle hingewiesen. Es bezeichnete sie als „Glied aus Papier in einer Stahlkette„. Die UPEK-Software speichert das Passwort eines Nutzers nur sehr schwach verschlüsselt und nahezu in Klartext in der Windows-Registrierung. Der Sicherheitsforscher Adam Caudill hat den Fehler inzwischen unabhängig von Elcomsoft nachvollziehen können und Beispielcode für einen Exploit veröffentlicht.

Unklar ist, wann ein Update zur Verfügung stehen wird, das das Sicherheitsloch stopft. Apple hat sich als neuer Eigentümer von AuthenTec bisher nicht zu der Anfälligkeit geäußert oder die Verantwortung dafür übernommen. Ars Technica weist allerdings darauf hin, dass das Windows-Passwort nicht in der Registrierung abgelegt wird, wenn die UPEK-Software nicht aktiviert wurde. Das Abschalten der Software alleine reiche jedoch nicht, um es wieder zu löschen. Dafür müsse das Nutzerkonto aus UPEK entfernt werden.

[mit Material von Zack Whittaker, ZDNet.com]

Themenseiten: Apple, Windows, authentec

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

4 Kommentare zu Fingerabdruck-Software von Apple-Tochter gibt Passwörter preis

Kommentar hinzufügen
  • Am 11. Oktober 2012 um 12:25 von Daniel

    „Apple gibt Passwörter preis“
    Was für eine Schlagzeile – und was steckt dahinter, eine Firma die von Apple übernommen wurde und Win Software herstellte.
    Was hat das mit Apple zu tun ?

    • Am 11. Oktober 2012 um 13:33 von Chr Suess

      Schließe mich ganz und gar an. Journalistisch gesehen aller (!) unterstes Niveau.

    • Am 12. Oktober 2012 um 13:33 von Ikarus

      So ist das nunmal mit aufgekauften Firmen. Da Apple der neue Eigentümer ist, sind die auch die Verantwortlichen. Bei all den anderen aufgekauften Firmen ist ja auch jeder schnell damit von Apple zu sprechen – auch wenn Apple „eigentlich nichts damit zu tun hat“ Es heißt „Apple’s SIRI“, „Apple’s Display“ Apple’s ….. Nur wenn damit was nicht in Ordnung ist, hat Apple plötzlich nichts damit zu tun?

      Das hat schon was von Pipi Langstrumpf „…..ich mach mir die Welt, wiede wiede wie sie mir gefällt“

  • Am 11. Oktober 2012 um 17:43 von Thomas R.

    Jetzt mal locker bleiben. Im Text steht nicht „Apple gibt Passwörter preis“ sondern „Fingerabdruck-Software von Apple-Tochter gibt Passwörter preis“. Ein kleiner aber feiner Unterschied den Ihr beachten solltet bevor Ihr die journalistische Leistung beurteilt.
    Und mal so ganz nebenbei: Da Apple das Unternehmen aufgekauft hat ist es auch der rechtliche Nachfolger und zwar ohne Einschränkungen. Es ist nicht von Interesse ob Apple die Sicherheitslücke verursacht hat oder nicht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *