Apples Fingerabdruck-Software bringt Windows-Nutzer in Gefahr
Kommentare

In letzter Zeit häufen sich die Berichte über gefährliche Sicherheitslücken in weit verbreiteten Produkten und Services, beispielsweise im Internet Explorer oder in Adobe Flash, das wohl nahezu jeder

In letzter Zeit häufen sich die Berichte über gefährliche Sicherheitslücken in weit verbreiteten Produkten und Services, beispielsweise im Internet Explorer oder in Adobe Flash, das wohl nahezu jeder Windows-Nutzer auf seinem PC installiert hat. Und nun kommt es noch härter: Wie Ars Technica berichtet, verfügt Apples Fingerabdruck-Software UPEK Protector Suite über eine Schwachstelle, welche Hackern mit physischer Kontrolle über die betroffenen PCs erlaubt, die in der Software gespeicherten Windows-Passwörter zu extrahieren. Das Schlimme daran: Die Software ist auf PCs von mindestens 16 Herstellern vorinstalliert – unter anderem auf denen von Dell, Samsung, Sony und Acer.

Im Juli diesen Jahres hatte Apple die Software-Firma Authentec, Hersteller der UPEK Protector Suite und ansässig im kalifornischen Melbourne, für 356 Millionen US-Dollar erworben, im September kam die besagte Software dann auf den Markt. Große Freude am Neuerwerb dürfte man in Cupertino allerdings nicht gehabt haben, wurde doch die Sicherheitslücke in der Software, die eigentlich ein sicheres Mittel zum Einloggen in Windows-Rechner darstellen sollte, schnell aufgedeckt.

Daran war der russische Entwickler Elcomsoft nicht ganz unbeteiligt. Er identifizierte die Lücke und erklärte auch, wie sie funktioniert. Die Protector Suite speichert Passwörter in der Registry und chiffriert sie mit einem Schlüssel, dessen Identifizierung für erfahrene Hacker ein Leichtes ist. Innerhalb weniger Sekunden könne man so alle gespeicherten Passwörter herausfinden – der Nutzer ist wie immer der Gehörnte und unsicherer als zuvor.

Unabhängig davon bestätigten die Sicherheits-Consultants Adam Caudill und Brandon Wilson die Schwachstelle. Im Gegensatz zu Elcomsoft veröffentlichten sie aber auch eine Software, mit der sich die extrahierten Passwörter dechiffrieren lassen. Angeblich nur zu Testzwecken.

Nun ja, die Sicherheitslücke besteht zweifelsohne, was können wir also tun, um uns vor Angreifern zu schützen? Ist die UPEK Protector Suite nicht deaktiviert, speichert sie auch keine Passwörter mehr in der Registry, gesetzt natürlich den Fall, dass man seinen Account nicht auf automatischen Login konfiguriert hat. Doch wie verschwinden die bereits abgelegten Passwörter? Entfernt man die Windows-Login-Funktionalität aus der Protector Suite, bleiben die Passwörter dennoch gespeichert. Nur bei Löschung der User Passports verschwinden auch die Zugangsdaten.

Wann das Risiko endgültig eingedämmt wird und wir die UPEK Protector Suite wieder uneingeschränkt nutzen können, ist bislang noch ungewiss. Wenigstens schaut Hersteller Authentec nicht tatenlos zu. Bereits Mitte September veröffentlichte man ein Security Patch, das laut Experten jedoch nichts weiter als eine Art Pflaster ist. Die Chiffrierung, unter der die Passwörter inzwischen stehen, sei kinderleicht zu knacken und das Update noch lange nicht auf allen betroffenen Computern installiert.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -