Fingerprint-Reader: Apple-Software gefährdet Windows-Umgebungen

Sicherheitsforscher haben eine Sicherheitslücke in der Software für Fingerprint-Reader entdeckt, über die Angreifer im großen Stil Windows-Passwörter abgreifen können. Vor allem Unternehmen müssten das Problem sehr ernst nehmen, sagen die Experten.

“Weil sich ein Hacker einfach Zugang zu einem Windows-Passwort verschaffen kann, können Angriffe über die Schwachstelle sehr viel schneller von Rechner zu Rechner ausgeweitet werden”, schreibt Sicherheitsforscher Adam Caudill in seinem Blog.

Die Lücke steckt in der Software UPEK Protector Suite und wurde bereits vor einem Monat von Elcomsoft entdeckt. Die russische Softwarefirma hatte damals keine Details zu der Schwachstelle genannt. Die Aussage, dass das Problem “das gesamte Sicherheitsmodell von Windows-Accounts” betreffe, sorgte unter Sicherheitsexperten aber für Aufsehen und weitere Nachforschungen. Wörtlich sprach Elcomsoft damals von einem “Glied aus Papier in einer Stahlkette”.

Die Frage, ob das tatsächlich das “gesamte Sicherheitsmodell” betroffen ist, beantwortet Caudill jetzt mit “Ja und Nein”. Einerseits müsse ein Hacker bereits als Local Admin die Kontrolle über einen Rechner haben, um das Windows-Passwort abzugreifen, das mit dem Fingerprint-Reader verknüpft ist. Andererseits aber speichere die UPEK-Software das Passwort nur äußerst schwach verschlüsselt und nahezu im Klartext in der Windows-Registrierung.

Einmal im System öffne das Angreifer Tür und Tor, vermutlich auch zu anderen Systemen, da viele Passwörter oft mehrmals verwendet würden. Gemeinsam mit dem Kollegen Brandon Wilson hat Caudill einen Proof-of-Concept veröffentlicht.

Zu den Laptop-Herstellern, die die UPEK-Software einsetzen gehören unter anderem Acer, ASUS, Dell, Gateway, Lenovo, MSI, NEC, Samsung, Sony und Toshiba. Lenovo bietet sie unter dem Namen ThinkVantage an. Hergestellt wird die Lösung von dem australischen Unternehmen AuthenTec – im Juli erst hatte Apple die Firma für 356 Millionen Dollar übernommen.

Unklar ist, wann ein Update zur Verfügung stehen wird, das das Sicherheitsloch stopft. Apple hat sich als neuer Eigentümer von AuthenTec bisher nicht zu der Anfälligkeit geäußert oder die Verantwortung dafür übernommen. Ars Technica weist allerdings darauf hin, dass das Windows-Passwort nicht in der Registrierung abgelegt wird, wenn die UPEK-Software nicht aktiviert wurde. Das Abschalten der Software alleine reiche jedoch nicht, um es wieder zu löschen. Dafür müsse das Nutzerkonto aus UPEK entfernt werden.

Die clientbasierte biometrische Authentifizierung gilt aktuell als Lösung des Passwort-Dilemmas. Das Problem mit Passwörtern ist, dass wir zu viele davon brauchen, die komplexen Regeln genügen und sich von Website zu Website unterscheiden müssen”, sagte kürzlich Intel-Forscher Sridhar Iyendar. Der Chip-Hersteller hat deshalb kürzlich eine Methode zu Handflächenerkennung vorgestellt. Das Verfahren funktioniere deutlich besser als die Fingerabdruck-Erkennung, die bei Business-Notebooks verbreitet ist. Branchenbeobachter gehen davon aus, dass Apple nach der Übernahme von AuthenTec ein ähnliches Verfahren vorbereitet.

[Mit Material von Zack Whittaker, ZDNet.com und
John Fontana, ZDNet.com]