В биометрических решениях Authentec подтверждено наличие уязвимости

Как передает Arc Technica, двое независимых экспертов по информационной безопасности подтвердили наличие серьезной уязвимости в реализации системы биометрической аутентификации UPEK от Authentec. Пользователи устройств от Dell, Acer и еще дюжины других производителей, которые содержат сканеры отпечатков пальцев, могут оказаться жертвами утечки паролей.

Решение UPEK длительное время считалось безопасным способом авторизации в операционной системе Windows с помощью отпечатков пальцев. Пароли шифруются с помощью криптографического ключа, который относительно легко получить. Имея в распоряжении криптографический ключ хакеру нужно всего несколько секунд для того, чтобы раскрыть пароли пользователей, которые авторизовались на системе, как локальных, так и сетевых.

Зашифрованные с помощью ненадежного криптографического ключа пароли находятся в системном реестре в HKEY_LOCAL_MACHINESoftwareVirtual TokenPassport. Представленные исследователями инструменты предназначены для пентестеров, которые смогут проверить систему на наличие уязвимостей.

При отсутствии UPEK Protector Suite операционная система хранит пароли в реестре только если пользователи используют функционал автоматической авторизации. Если на системе присутствует UPEK Protector Suite, но при этом пользователь отключает в нем функционал авторизации, пароль все равно остается в реестре. Если из приложения удаляется «паспорт» пользователя, вместе с ним из реестра удаляется и пароль. Также во время деинсталляции приложения присутствует опция сохранения «паспорта», при использовании которой пароль пользователя сохраняется в реестре.