Stručnjaci za kriptologiju iz softverske tvrtke ElcomSoft otkrili su veliki sigurnosni propust u popularnom UPEK čitaču otiska prsta kojeg proizvodi tvrtka AuthenTec.
Propust je pronađen u UPEK Protector Suiteu, dijelu softvera za upravljanje sklopovljem čitača, a napadaču omogućuje izvlačenje Windows lozinki iz registra. Softver je navodno unaprijed instaliran na većem broju prijenosnih računala poznatih proizvođača koja sadrže različite varijante UPEK uređaja. UPEK Protector Suite sprema korisničku lozinku u Windows registar kada je aktivirana funkcionalnost prijave čitanjem otiska prsta, piše cert.hr Takva radnja je nužna kako bi aplikacija Windowsima predočila lozinku za korisnika kada se detektira ispravni otisak prsta. Iako se lozinke šifriraju AES kriptografskim algoritmom, navodno je isti neispravno implementiran. Prema navodima iz ElcomSofta, ključ je uvijek isti i može se rekonstruirati. Svoje su tvrdnje demonstrirali vlastitim alatom koji je prikazao prva tri znaka lozinki za sve korisnike na sustavima gdje je Protector Suite instaliran i koji imaju aktiviranu funkcionalnost prijave na Windows. ElcomSoft preporučuje deaktivaciju funkcije prijave preko UPEK Protector Suite programa zbog nesigurnog načina pohrane lozinki u registar. Predstavnici tvrtke AuthenTec potvrdili su otkriveni problem i kazali da pripremaju novu ispravljenu inačicu proizvoda koja bi trebala biti dostupna do kraja ovoga tjedna.