• Yamha
  • Công nghệ bảo mật vân tay của Apple để lộ mật khẩu máy tính

    08:2812/10/2012

    Các chuyên gia bảo mật độc lập vừa xác nhận một lỗ hổng bảo mật nghiêm trọng có thể bị hacker khai thác dễ dàng để điều khiển nhiều máy tính của các hãng như Dell, Acer. Hiện tại, ít nhất 14 công ty sản xuất máy tính đã nhanh chóng khôi phục lại mật khẩu tài khoản Windows.

     Apple, Elcomsoft, Amoi, Asus, Clevo, Compal, Dell, Gateway, IBM/Lenovo, Itronix, MPC, MSI, NEC, Sager, Samsung, Sony

    Lỗ hổng bảo mật này chứa trong nhiều phiền bản của phần mềm đọc vân tay được biết đến với tền gọi UPEK Protector Suite. Hồi tháng 7, Apple đã chi 356 triệu USD để mua Authentec. Authentec trước đó đã mua công nghệ công nghệ quét quân tay UPEK vào năm 2010. 

    Lỗ hổng bảo mật này được phát hiện vào hồi tháng 9, nhưng thời điểm đó, Apple chưa thừa nhận thông tin này để khuyến cáo người dùng, cũng như đưa ra cách khắc phục.

    UPEK là phần mềm từ lâu đã được quảng cáo là một công cụ bảo mật an toàn để đăng nhập vào Windows, bởi nó yều cầu dấu vân tay "độc nhất" của từng người một.

    Vào tháng trước, Elcomsoft - một nhà phát triển phần mềm crack mật khẩu ở Nga đã khuyến cáo rằng phần mềm này có tính an toàn không cao như quảng cáo, bởi nó sẽ lưu mật khẩu Windows của người dùng vào registry, sau đó mã hóa chúng bằng một khóa riềng. Cách lưu trữ mật khẩu này sẽ "tiếp tay" cho hacker dễ dàng ăn cắp được mật khẩu.

    2 chuyền gia bảo mật độc lập cũng vừa xác nhận các lỗ hổng này, đồng thời phát hành một phần mềm nguồn mở giúp người dùng dễ dàng sử dụng để vá lỗi. Các mật khẩu được lưu trữ tại 1 trong nhiều khóa registry nằm tại đại chỉ HKEY_LOCAL_MACHINESoftwareVirtual TokenPassport, tùy thuộc vào phiền bản PEK.

    "Để có thể truy cập các giá trị của khóa registry, hacker phải cướp được quyền điều khiển local administrator. Do đó, mật khẩu Windows chỉ có thể bị đánh cắp nếu người dùng mất quyền điều khiển PC" - chuyền gia bảo mật Brandon Wilson cho biết.

    Khi Protector Suite chưa được kích hoạt, Windows không lưu trữ bất kí mật khẩu tài khoản nào trong registry trừ khi người dùng cấu hình một tài khoản để đăng nhập tự động.

    Theo Wilson, tất cả phiền bản của phần mềm có nhãn hiệu "UPEK Protector Suite" đều có nguy cơ dính lỗi bảo mật. Ngoài Dell và Acer, các nhà sản xuất PC có cài sẵn phần mềm UPEK bao gồm Amoi, Asus, Clevo, Compal, Dell, Gateway, IBM/Lenovo, Itronix, MPC, MSI, NEC, Sager, Samsung, Sony, và Toshiba.

    Hiện tại cả Apple và Authentec đều chưa có phản hồi gì cũng như chưa đưa ra bất cứ cảnh báo nào về lổ hổng bảo mật này.

    Theo Genk





    Gửi nhận xét về bài viết:
    Họ tên:    Email:
    Nội dung:
    • DTTD