Найдена уязвимость в популярной системе авторизации по отпечаткам пальцев

Найдена уязвимость в популярной системе авторизации по отпечаткам пальцев

Пакет UPEK Protector Suite, который используется на ноутбуках минимум 16 производителей для входа в систему по отпечатку пальца, оказался подвержен уязвимости. Как выяснили специалисты по безопасности, при получении физического доступа к машине хакеры могут извлечь полный текст паролей Windows.

Развитием технологии UPEK сейчас занимается американская компания Authentec, поглотившая создателей исходного продукта пару лет назад. Оказалось, что система, которая рекламируется, как способ дополнительной защиты для Windows-ноутбуков, на самом деле серьезно ослабляет защиту. Выяснилось, что пакет UPEK Protector Suite сохраняет пароли учетных записей Windows прямо в системном реестре с минимальным шифрованием, а получить ключ для дешифрации можно элементарными способами. Как заверяют представители российской фирмы Elcomsoft, известной своими инструментами для восстановления и взлома паролей к различным системам, на извлечение паролей при использовании UPEK требуется всего несколько секунд, передает soft.mail.ru.

Уязвимость UPEK Protector Suite выглядит довольно опасной – эту систему устанавливают в заводской комплектации многие авторитетные производители ноутбуков, включая такие компании, как Dell и Sony. Стоит отметить, что если система UPEK Protector Suite не активирована, то пароли Windows не записываются в реестр, если только пользователь не включил автоматический вход в систему для своей учетной записи. Кстати, известные эксперты по безопасности уже давно рекомендуют всячески избегать автоматического входа. Также известно, что если пользователь сначала включил систему входа по отпечаткам пальцев, а потом выключил ее, пароли все равно остаются в системном реестре, доступные для простой дешифрации.

Согласно данным на официальном сайте компании Authentec, технология UPEK Protector Suite поставляется, или поставлялась, на ноутбуках 16 разных компаний, в том числе, Acer, Amoi, Asus, Clevo, Compal, Dell, Gateway, IBM/Lenovo, Itronix, MPC, MSI, NEC, Sager, Samsung, Sony и Toshiba. Пока компания Authentec не сообщила о своих планах по отзыву продукта или выпуску исправлений, а компания Elcomsoft уже опубликовала результаты своих исследований по извлечению паролей из Windows 7 и Windows 8. Кроме того, компания Elcomsoft уверяет, что оповестила компанию Authentec об уязвимости и получила подтверждение.

Уязвимость в системе входа по отпечаткам пальцев становится серьезной проверкой для технологию, которую пропагандируют, как надежную замену паролей. На самом деле, биометрические средства безопасны лишь настолько, насколько безопасно программное обеспечение, в котором они работают. С другой стороны, даже при полной надежности ПО биометрические системы с контролем отпечатков пальца или радужной оболочки глаза все равно могут быть уязвимы для клонирования. Как бы то ни было, пароли и системы двухфакторной авторизации пока остаются самым надежным способом подтвердить личность пользователя из доступных на сегодняшний день.

WhatsApp обещает защитить юзернеймы от фейков, клонов и мошенников

WhatsApp (принадлежит корпорации Meta, признанной экстремисткой и запрещённой в России) еще не успел полноценно запустить имена пользователей, а вокруг функции уже началась возня с регуляторами. По данным СМИ, власти Индии попросили корпорацию притормозить и объяснить, как мессенджер собирается бороться с мошенничеством и подделкой личностей.

Суть опасений понятна: если пользователи смогут общаться без передачи номера телефона, мошенникам якобы станет проще прятаться за никами, выдавать себя за людей, компании или госорганы и проворачивать привычные схемы уже в более анонимном формате.

WhatsApp с этим не согласен и утверждает, что защита от злоупотреблений уже заложена в дизайн функции. Представитель корпорации сообщил Android Authority, что возможность использовать юзернеймы пока не запущена для всех и будет внедряться постепенно.

По словам WhatsApp, самые заметные имена заранее зарезервированы: публичные персоны, госструктуры, знаменитости и верифицированные аккаунты Meta не смогут быть захвачены посторонними. Более того, похожие варианты известных имен тоже удерживаются.

Компания также подчёркивает: имена пользователей не заменят номер телефона полностью. Для создания и использования аккаунта WhatsApp по-прежнему потребуется телефонный номер. Ник нужен только как способ дать людям возможность связаться друг с другом без немедленного раскрытия номера.

Дополнительные ограничения тоже будут. Чтобы написать человеку по юзернейму, нужно знать его точное имя. WhatsApp обещает ограничивать количество новых контактов, которым может написать один аккаунт, блокировать массовый перебор никнеймов и использовать автоматические системы для поиска подозрительной активности и имперсонации.

Если незнакомец впервые напишет по имени, пользователь увидит больше контекста: новый ли это аккаунт, есть ли он в контактах, есть ли общая группа и из какой страны идет сообщение.

Иными словами, WhatsApp пытается усидеть на двух стульях: дать пользователям больше приватности, но не превратить юзернеймы в новый рай для мошенников. Получится ли? Станет понятно после запуска.

RSS: Новости на портале Anti-Malware.ru