De vingerafdruklezer die op zeer veel laptops aanwezig is blijkt Windows-wachtwoorden niet goed af te schermen. Het gaat om de UPEK vingerafdruklezer die in op laptops van Asus Acer, ASUS, Dell, Gateway, Lenovo, MSI, NEC, Samsung, Sony en vele anderen aanwezig is. De software die ervoor zorgt dat gebruikers via hun vingerafdruk kunnen inloggen in plaats van een Windows-wachtwoord, blijkt het wachtwoord in bijna platte tekst in het register op te slaan.

Een aanvaller met fysieke toegang tot de laptop waarop de UPEK Protector Suite draait kan zo het Windows-wachtwoord achterhalen, zo ontdekte het Russisch softwarebedrijf ElcomSoft

Het bedrijf merkt op dat Windows zelf geen wachtwoorden opslaat, tenzij gebruikers voor 'automatisch inloggen' kiezen. In het geval van UPEK blijkt dat de ontwikkelaars voor de makkelijkste oplossing hebben gekozen door het originele Windows-wachtwoord op te slaan, waardoor aanvallers die kunnen bemachtigen.

Details
Inmiddels zou de UPEK Protector Suite niet meer met laptops worden geleverd, aangezien UPEK door een ander bedrijf genaamd Authentec is overgenomen. Toch is de software nog op talloze laptops te vinden. In publiek belang is ElcomSoft niet van plan om precieze details te openbaren.

"We hebben UPEK over het probleem ingelicht, maar zo goed als zeker weten ze hier al van", zo stelt het Russische softwarebedrijf. Als bewijs heeft ElcomSoft een demonstratie applicatie ontwikkeld die het met een select aan journalist zal delen.