Η Lenovo επιβεβαίωσε ότι το λογισμικό αυτόματης σύνδεσης Fingerprint Manager Pro (έκδοση 8.01.86), το οποίο επιτρέπει στους χρήστες να ξεκλειδώνουν τις συσκευές τους χρησιμοποιώντας την αναγνώριση δακτυλικών αποτυπωμάτων, επηρεάζεται από μια σοβαρή ευπάθεια.
Επιτιθέμενοι θα μπορούσαν να εκμεταλλευτούν το κενό ασφαλείας για να έχουν πρόσβαση σε οποιοδήποτε σύστημα είναι εξοπλισμένο με την εφαρμογή.
Σύμφωνα με την αποκάλυψη της Lenovo, το Fingerprint Manager περιείχε ένα hardcoded κωδικό, με τον οποίο μπορούσαν να συνδεθούν χρήστες τοπικά, σε λογαριασμούς χωρίς δικαιώματα διαχειριστή.
Εκτός από τον hardcoded κωδικό, η εφαρμογή “ασφαλείας” αποθήκευε ευαίσθητες πληροφορίες όπως τα διαπιστευτήρια σύνδεσης των Windows και τα δακτυλικά αποτυπώματα τα οποία “κρυπτογραφούσε χρησιμοποιώντας έναν ασθενή αλγόριθμο”.
Η ευπάθεια ανακαλύφθηκε από τον ερευνητή Jackson Thuraisamy της Security Compass.
Το ελαττωματικό λογισμικό είναι διαθέσιμο για τα Windows 7, 8 και 8.1. Σύμφωνα με τις λεπτομέρειες που δημοσιεύονται στον ιστότοπο της εταιρείας, παρακάτω υπάρχουν όλες οι συσκευές που χρησιμοποιούν το Fingerprint Manager:
- ThinkPad L560
- ThinkPad P40 Yoga, P50s
- ThinkPad T440, T440p, T440s, T450, T450s, T460, T540p, T550, T560
- ThinkPad W540, W541, W550s
- ThinkPad X1 Carbon (Type 20A7, 20A8), X1 Carbon (Type 20BS, 20BT)
- ThinkPad X240, X240s, X250, X260
- ThinkPad Yoga 14 (20FY), Yoga 460
- ThinkCentre M73, M73z, M78, M79, M83, M93, M93p, M93z
- ThinkStation E32, P300, P500, P700, P900
Όσοι από εσάς διαθέτουν κάποια από τις παραπάνω συσκευές, και η έκδοση του Fingerprint Manager Pro είναι η 8.01.86 συνιστάται να ενημερώσουν άμεσα στην έκδοση 8.01.87 ή κάποια νεότερη έκδοση. Μπορείτε να το κάνετε από το παρακάτω link:
https://pcsupport.lenovο.com/downloads/ds034486
Πληροφορίες, εικόνα header: TNW