Apple-beveiliging creëert lek in Windows

Wie de encryptiesleutel van de software in handen heeft, kan in minder dan een minuut tijd alle opgeslagen wachtwoorden van Windows-computers halen, demonstreerde een Russische software-ontwikkelaar al in september. Nu hebben beveiligingsspecialisten Adam Caudill en Brandon Wilson open source gereedschap gepubliceerd waarmee het ontfutselen van de encryptiesleutel een fluitje van een cent is.

Redactie AG ConnectMeer van deze auteur

Apple is eigenaar

De kern van het probleem is de manier waarop de UPEK Protector Suite de wachtwoorden opslaat die de gebruiker koppelt aan zijn vingerafdruk. De software is eigendom van Apple sinds het bedrijf in juli de maker ervan - Authentec - overnam voor een bedrag van 356 miljoen dollar.

De UPEK Protector Suite staat standaard op laptops van onder meer Acer, Dell, Lenovo, Samsung, Sony, Toshiba en nog zeker 14 andere producenten van Windows-laptops met een vingerafdruklezer voor toegangscontrole. De software zet de wachtwoorden in de registry in HKEY_LOCAL_MACHINE\Software\Virtual Token\Passport\. De wachtwoorden zijn versleuteld maar met een sleutel die voor hackers niet moeilijk te achterhalen is. Het gereedschap dat Caudill en Wilson op Github publiceerden, maakt dat nog makkelijker.

Deïnstalleren is enige optie

Wanneer de UPEK Protector Suite nog nooit is gebruikt, is er geen probleem: De software slaat dan geen wachtwoorden op, tenzij is gekozen voor een automatische log-in. Is de Suite eenmaal geactiveerd geweest, heeft het uitzetten geen zin, want de wachtwoorden blijven dan in de registry aanwezig. Alleen het verwijderen van een gebruiker of het volledig deïnstalleren van de software roept een routine aan die de keuze biedt de wachtwoorden te wissen.

Van digitale werkplek naar strategisch voordeel: hoe DEX-beheer kosten bespaart én de business versterkt

Stop met brandjes blussen. Start met DEX-beheer en maak van je digitale werkplek een strategisch voordeel.

2 min

Blog migratie, windows 11 Partner

Waarom migreren zonder datasturing vragen om problemen is

Zonder datasturing wordt migreren al snel chaos. Ontdek hoe je risico's voorkomt en vertrouwen opbouwt met data.

3 min

Meer whitepapers

Whitepaper Security Partner

De weg ontdekken naar geïntegreerde IT- en fysieke beveiliging afdelingen

De samenvoegingen van IT en fysieke beveiliging begon jaren geleden, maar hoe staat het er nu voor met deze ontwikkeling?

Whitepaper Artificial Intelligence Partner

The challenge of information asymmetry

In many organizations, decision-making is hindered by information asymmetry, where critical data is unevenly distributed

Whitepaper Security Partner

Trend Micro herstelt AWS-diensten voor Banijay Benelux na ransomware-aanval

Wat doe je als je wordt getroffen door een ransomeware-aanval en je bedrijf daardoor stil ligt? Lees de ervaringen van Banijay Benelux.

MEER WHITEPAPERS

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee