Vulnerabilidad en software de huella digital
Hasta 16 compañías entre las cuales tenemos a Sony y a Dell por citar un par de ejemplos, incluían (¿incluyen?) en algunos de sus portátiles un software de gestión de autenticación a través de huella digital llamado UPEK Protector Suite, se ha descubierto que este software almacena las contraseñas en el registro con una encriptación ciertamente débil de modo que en pocos segundos cualquier atacante puede tener acceso a ellas.
El software UPEK Protector Suite, es un tipo de gestor que juega la baza de que solo con nuestra huella dactilar podremos autenticarnos en nuestro sistema, permitiendo al usuario olvidarse de las "engorrosas" contraseñas. Hasta aquí muy bien, el problema viene en el momento en que activamos el software, el cual escribe nuestra contraseña en el registro encriptándola muy débilmente, por lo que se puede conseguir en cuestión de segundos, como ha demostrado Elcomsoft. En este caso aunque nuestra huella digital sea única y un medio relativamente seguro de acceder a la información, si el software que gestiona nuestra identidad comete una pifia como en este caso, todo el sistema es violable.
En las pruebas realizadas por esta empresa rusa, una vez deshabilitado el software la contraseña seguía estando en el registro debiendo ser borrada manualmente. Authentec, la compañía de UPEK Protector Suite; ya no lo comercializa, pero este software se distribuía con portátiles de las siguientes empresas: Amoi, Asus, Clevo, Compal, Dell, Gateway, IBM/Lenovo, Itronix, MPC, MSI, NEC, Sager, Samsung, Sony y Toshiba.
Fuente: Cyberseguridad
El software UPEK Protector Suite, es un tipo de gestor que juega la baza de que solo con nuestra huella dactilar podremos autenticarnos en nuestro sistema, permitiendo al usuario olvidarse de las "engorrosas" contraseñas. Hasta aquí muy bien, el problema viene en el momento en que activamos el software, el cual escribe nuestra contraseña en el registro encriptándola muy débilmente, por lo que se puede conseguir en cuestión de segundos, como ha demostrado Elcomsoft. En este caso aunque nuestra huella digital sea única y un medio relativamente seguro de acceder a la información, si el software que gestiona nuestra identidad comete una pifia como en este caso, todo el sistema es violable.
En las pruebas realizadas por esta empresa rusa, una vez deshabilitado el software la contraseña seguía estando en el registro debiendo ser borrada manualmente. Authentec, la compañía de UPEK Protector Suite; ya no lo comercializa, pero este software se distribuía con portátiles de las siguientes empresas: Amoi, Asus, Clevo, Compal, Dell, Gateway, IBM/Lenovo, Itronix, MPC, MSI, NEC, Sager, Samsung, Sony y Toshiba.
Fuente: Cyberseguridad
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!