Fingerabdruck-Software verrät Passwort
Wer ein Notebook mit Fingerabdruckscanner besitzt, hat unter Umständen ein Sicherheitsproblem: Die Treibersoftware eines bestimmten Herstellers bringt das Windows-Passwort in Gefahr.
- Ronald Eikenberg
Wer sich an einem Notebook mit Fingerabdruckscanner per Fingerzeig anmeldet, hat unter Umständen ein Sicherheitsproblem: Zumindest bei den weit verbreiteten UPEK-Scannern kann jeder, der Zugang zur Registry hat, alle Windows-Passwörter auslesen und zur Anmeldung nutzen. Dies berichten die Krypto-Experten von ElcomSoft in ihrem Blog.
Die Protector Suite war offenbar lange Zeit auf Notebooks vorinstalliert, die mit einem Fingerabdrucksensor des Zulieferers UPEK ausgestattet sind. Laut einer inzwischen von der Homepage des Zulieferers gelöschten Liste haben sämtliche namhaften Notebook-Hersteller Geräte mit UPEK-Sensoren bestückt. Darüber hinaus wird das Programm auch einzeln verkauft.
Die Protector Suite speichert das Windows-Passwort des Nutzers in der Registry, wenn er den Login per Fingerabdruck aktiviert. Die Passwörter sind zwar AES-verschlüsselt, die Verschlüsselung wurde offenbar jedoch fehlerhaft implementiert: ElcomSoft hat einen Weg gefunden, den zur Verschlüsselung genutzten, geheimen AES-Schlüssel zu rekonstruieren. Anscheinend ist dieser stets gleich.
Zu Demonstrationszwecken haben uns die Krypto-Forscher ein Kommandozeilentool geschickt, das die ersten drei Zeichen der Kennwörter aller Nutzer anzeigt, die das Windows-Login zuvor aktiviert hatten. Hat ein Angreifer Zugang zu einem Windows-System, kann er ohnehin alle unverschlüsselten Daten auslesen und auch die Windows-Kennwörter ändern, um sich Zugang zum Account eines Anwenders zu verschaffen. Allerdings hat er dabei keinen Zugriff auf verschlüsselte Daten, die etwa durch die NTFS-Dateiverschlüsselung Encrypting File System (EFS) geschützt sind. Für deren Entschlüsselung ist das Windows-Passwort des Anwenders erforderlich. Derartige Spionage lässt sich etwa durch eine Vollverschlüsselung des Systems mit BitLocker oder TrueCrypt verhindern.
ElcomSoft empfiehlt, die Login-Funktion zu deaktivieren, wodurch das in der Registry gespeicherte Passwort gelöscht werden soll. Bei uns führte das jedoch nicht zum gewünschten Erfolg. Selbst nach dem Ändern des Windows-Passworts konnten wir es in der aktuellen Version mit dem Tool auslesen. Erst die vollständige Deinstallation der Treibersoftware schaffte Abhilfe.
UPEKs Mutterfirma AuthenTec bestätigte das Problem gegenüber heise Security und gab an, im Laufe dieser Woche eine Version zum Download anbieten zu wollen, die den geheimen Schlüssel mit einem gehärteten Algorithmus generiert. (rei)