I lettori di impronte digitali UPEK per Windows espongono le password

Immagine di Impronta DigitaleUPEK Protector Suite era un software per la gestione degli omonimi lettori di impronte digitali, montati sulla maggioranza dei laptop che offrono questi dispositivi per l’autenticazione degli utenti: acquisita da AuthenTec, la società distribuisce lo stesso prodotto come Eikon e lo gestisce con TrueSuite. Una vulnerabilità affligge la gamma precedente all’acquisizione, esponendo tutte le password salvate nel registro di sistema. Risolvere il problema è semplice, eppure molti non avvertono l’esigenza d’aggiornare l’applicazione.

È paradossale, ma i lettori UPEK garantivano la sicurezza memorizzando le password in chiaro. Se per effettuare il logon in Windows è necessaria un’impronta digitale, avuto accesso al sistema – magari, persino da remoto – le credenziali non sono affatto protette a causa di un programma approssimativo. L’aggiornamento a TrueSuite disponibile esclusivamente per Windows 7 risolve la vulnerabilità identificata in UPEK Protector Suite: è preferibile tutelarsi a priori, disabilitando la funzione e rimuovendo tutte le password salvate.

Il problema è tanto più grave perché UPEK Protector Suite corrompe l’utilizzo di Encrypting File System (EFS), una funzionalità del sistema operativo per la crittografia dei dati, esponendo addirittura le password salvate nel browser. Il supporto tecnico di UPEK è stato sostituito con quello di AuthenTec: ad ogni modo, la lista dei produttori che montano questi lettori è fornita. Parliamo di Acer, ASUS, Dell, Lenovo, MSI, NEC, Samsung, Sony e Toshiba — per citare soltanto i più diffusi. L’aggiornamento è fortemente consigliato.

Via | The H Security
Immagine | Flickr

  • shares
  • Mail