Elcomsoft: Решения биометрической аутентификации AuthenTec содержат опасную уязвимость
Компания Elcomsoft готова предоставить доказательства наличия уязвимости в решениях AuthenTec, если последняя откажется выпустить обновление безопасности.
Разработчик программного обеспечения российская фирма Elcomsoft заявляет о том, что в решениях биометрической аутентификации от компании AuthenTec присутствует опасная уязвимость . По словам экспертов Elcomsoft, пользователи ноутбуков со сканерами отпечатков пальцев при получении административных привилегий могут раскрыть пароль ко всем остальным учетным записям, которые присутствуют на системе.
Впервые об уязвимости в решениях AuthenTec компания Elcomsoft заявила в конце прошлого месяца. AuthenTec отреагировала на это сообщение через свою пресс-службу, заверив общественность, что никакой уязвимости нет.
«AuthenTec не то чтобы совсем отрицают наличие уязвимости. Их позиция примерна такова: „Во-первых, уязвимости нет, а во-вторых, она не опасная“. Мы готовы раскрыть все подробности уязвимости, если в Authentec продолжат в том же духе. Но рассчитываем на благоразумие компании — никому не станет легче от полного раскрытия данных» — цитирует РИА Новости генерального директора Elcomsoft Владимира Каталова.
Решение UPEK, которое принадлежит AuthenTec, является альтернативным способом аутентификации в операционной системе. Программное решение этой системы хранит, как пароли операционной системы, так и биометрические данные. Основная проблема системы, по мнению экспертов Elcomsoft, состоит в низком уровне защищенности хранимых авторизационных данных.
«Эта система, по сути, менее безопасна, чем предусмотренная в Windows система защиты паролей. Windows хранит не сами пароли, а их хэши — производные от паролей, вычисленные с помощью функции одностороннего преобразования, так что оригинальные пароли можно получить только перебором или другими ресурсоёмкими способами», — заявил Каталов. В UPEK пароли шифруются с помощью RSA-ключа, надежность которого и вызывает опасения у сотрудников Elcomsoft.
«Удаленно установленная троянская программа вполне может извлечь всю нужную информацию для беспрепятственного входа в систему под аккаунтами всех зарегистрированных в ней пользователей. Другой сценарий — потеря ноутбука. Не стоит рассчитывать, что злоумышленника остановит защита с помощью сканера. Еще один сценарий: на компьютере зарегистрированы отпечатки пальцев нескольких пользователей. Из-за этой уязвимости они могут узнать пароли друг друга», — отметил Каталов.