Elcomsoft: Решения биометрической аутентификации AuthenTec содержат опасную уязвимость

Elcomsoft: Решения биометрической аутентификации AuthenTec содержат опасную уязвимость

Компания Elcomsoft готова предоставить доказательства наличия уязвимости в решениях AuthenTec, если последняя откажется выпустить обновление безопасности.

Разработчик программного обеспечения российская фирма Elcomsoft заявляет о том, что в решениях биометрической аутентификации от компании AuthenTec присутствует опасная уязвимость. По словам экспертов Elcomsoft, пользователи ноутбуков со сканерами отпечатков пальцев при получении административных привилегий могут раскрыть пароль ко всем остальным учетным записям, которые присутствуют на системе.

Впервые об уязвимости в решениях AuthenTec компания Elcomsoft заявила в конце прошлого месяца. AuthenTec отреагировала на это сообщение через свою пресс-службу, заверив общественность, что никакой уязвимости нет.

«AuthenTec не то чтобы совсем отрицают наличие уязвимости. Их позиция примерна такова: „Во-первых, уязвимости нет, а во-вторых, она не опасная“. Мы готовы раскрыть все подробности уязвимости, если в Authentec продолжат в том же духе. Но рассчитываем на благоразумие компании — никому не станет легче от полного раскрытия данных» — цитирует РИА Новости генерального директора Elcomsoft Владимира Каталова.

Решение UPEK, которое принадлежит AuthenTec, является альтернативным способом аутентификации в операционной системе. Программное решение этой системы хранит, как пароли операционной системы, так и биометрические данные. Основная проблема системы, по мнению экспертов Elcomsoft, состоит в низком уровне защищенности хранимых авторизационных данных.

«Эта система, по сути, менее безопасна, чем предусмотренная в Windows система защиты паролей. Windows хранит не сами пароли, а их хэши — производные от паролей, вычисленные с помощью функции одностороннего преобразования, так что оригинальные пароли можно получить только перебором или другими ресурсоёмкими способами», — заявил Каталов. В UPEK пароли шифруются с помощью RSA-ключа, надежность которого и вызывает опасения у сотрудников Elcomsoft.

«Удаленно установленная троянская программа вполне может извлечь всю нужную информацию для беспрепятственного входа в систему под аккаунтами всех зарегистрированных в ней пользователей. Другой сценарий — потеря ноутбука. Не стоит рассчитывать, что злоумышленника остановит защита с помощью сканера. Еще один сценарий: на компьютере зарегистрированы отпечатки пальцев нескольких пользователей. Из-за этой уязвимости они могут узнать пароли друг друга», — отметил Каталов.

Устали от того, что Интернет знает о вас все?

Присоединяйтесь к нам и станьте невидимыми!