Apple 소유의 지문 인식 소프트웨어의 결함으로 노출 된 PC 암호

수백만 명의 윈도우 PC 사용자의 암호를 공개 할 가능성이있는 현재 애플이 소유하고있는 지문 인식 소프트웨어의 보안 결함은 보안 연구가들에 의해 독립적으로 확인됐다.

사람의 컴퓨터를 물리적으로 제어 할 수있는 해커라면 누구나 Windows 계정 암호를 빼낼 수 있다고 Ars Technica는보고합니다.

공급 업체의 생체 인식 소프트웨어가 “Windows 계정의 전체 보안 모델”을 손상시킵니다.

애플, 지문 센서 회사 인 AuthenTec 3 억 6 천 6 백만 달러에 인수

7 월에 애플은 호주에 본사를 둔 지문 인식 하드웨어 업체 인 AuthenTec을 3 억 6,600 만 달러에 인수했다. 이 회사는 지문 판독기를 포함한 iwth 임베디드 보안 장치를 따라 스마트 센서 및 관리 소프트웨어를 제작합니다. (이번 달 초 Apple은 별도의 구매로, 다른 호주 회사 인 Microlatch와 계약을 체결했으며, iPhone 및 iPad 제조업체가 근거리 통신 애플리케이션에 사용하기 위해 지문 기술을 개발할 것으로 전망됩니다.)

그러나 하드웨어와 소프트웨어를 통제하고있는 애플은 아직 성명을 발표하거나 업데이트를 발표하지 않았으며, 현재 주요 경쟁사의 운영체제에 사용 된 소프트웨어의 결함을 책임지고있다.

2010 년에 AuthenTec에 인수 된 UPEK 지문 소프트웨어에는 소프트웨어가 생체 인식 지문을 사용하여 Windows 컴퓨터에 로그인하는 안전한 방법으로 판매되고 있음에도 불구하고 지문과 관련된 암호를 쉽게 추출 할 수있는 결함이 있습니다.

많은 노트북 및 PC 제조업체는 Acer, Asus, Dell, Gateway, Lenovo, MSI, NEC, Samsung, Sony 및 Toshiba를 포함한 UPEK 소프트웨어를 사용합니다. (Lenovo는 UPEK 소프트웨어를 ThinkVantage로 변경했습니다.)

8 월에 Windows 소프트웨어 개발자이자 Microsoft 인증 파트너 인 Elcomsoft는 UPEK 소프트웨어의 결함을 발견하여 “스테인레스 스틸 체인에 대한 종이 링크”라고 명명했습니다.

Elcomsoft 블로그의 올가 코크 샤로 바 (Olga Koksharova)는 사용자의 계정 암호가 Windows 레지스트리에 거의 평문으로 저장되어 거의 암호화되어 있지만 암호화되어 있지 않다는 점에서 부분적으로 Windows에 존재합니다. 취약점을 확인한 보안 연구원은 “충분히 가깝다”고 말했고 Windows 암호가 레지스트리에 저장되는 위치를 자세히 설명했습니다.

연구원은 해커가 APEK 소프트웨어가 포함 된 지문 판독기로 Windows 컴퓨터를 이용할 수 있도록하는 오픈 소스 소프트웨어를 출시했습니다.

그들은 설명했다.

혁신, M2M 시장 침체 브라질, 보안, FBI가 Crackas 회원을 체포하여 미국 공무원 해킹에 대한 태도, 보안, WordPress는 사용자가 중요한 보안 구멍을 고치기 위해 지금 업데이트하도록 촉구 보안, 백악관, 정보 보안 담당자

처음 24 바이트는 헤더 및 크기 정보이며 암호화 된 데이터 뒤에 다음 섹션의 바이트 수를 나타내는 4 바이트 숫자가있는 경우 IV에 다음 바이트가 사용됩니다. 암호화 키는 MD5 해싱을 사용하는 PBKDF2와 유사한 함수를 사용하여 ‘생성’되지만 불행히도 레지스트리에 데이터를 저장할 때 비밀번호를 사용하지 않습니다. 따라서 결과는 순전히 MD5 해시를 기반으로합니다. ‘seed’값. 이것은 사용 된 키가 항상 동일 함을 의미합니다.

더 나은 점은 키가 56 비트에 불과하다는 점입니다.

Ars Technica는 UPEK 소프트웨어가 사용 중이거나 활성화되어 있지 않을 때, 사용자가 컴퓨터를 부팅하고 자동으로 로그인 할 수 없으면 Windows는 사용자 암호를 레지스트리에 저장하지 않는다고 말합니다. 그러나 UPEK 소프트웨어에서 Windows 로그인 프롬프트를 비활성화해도 레지스트리에서 암호가 제거되지 않습니다. 소프트웨어에서 사용자의 “여권”만 제거하면됩니다.

웹 사이트는 Apple에 도달했으며 우리가 회신하면 그 부분을 업데이트 할 것입니다.

더 많은 것을 읽으십시오

? M2M 시장은 브라질에서 다시 반송

FBI, 미국 정부 관료 해킹에 대한 태도로 Crackas 회원을 체포

WordPress는 사용자가 중요한 보안 취약점을 수정하기 위해 지금 업데이트하도록 촉구합니다.

백악관, 연방 정보 보안 책임자 (Federal Chief Information Security Officer) 선임