Oprogramowanie czytnika linii papilarnych w ThinkPadach podatne na włamania

Każdy użytkownik ThinkPada z wbudowanym czytnikiem linii papilarnych oraz systemem operacyjnym starszym niż Windows 10 powinien jak najszybciej pobrać aktualizację Lenovo Fingerprint Manager Pro. Oprogramowanie służące do obsługi biometrii w laptopach Lenovo posiada poważną lukę, która umożliwia dostęp do danych logowania wszystkim użytkownikom.

Podatność została opublikowana przez Jacksona Thuraisamy z firmy Security Compass. W jej opisie czytamy, że oprogramowanie Lenovo Fingerprint Manager Pro w wersji 8.01.86 lub wcześniejszej nie zabezpiecza dostatecznie danych do logowania Windows czy z czytnika linii papilarnych. Powodem jest niski poziom bezpieczeństwa algorytmów szyfrujących, nie jest jednak jasne, jakie algorytmy wykorzystywało Lenovo.

Thuraisamy odkrył również, że same hasło w postaci niezaszyfrowanej jest przechowywane w kodzie oprogramowania. W efekcie każdy użytkownik nawet bez uprawnień administratora może uzyskać dostęp do wrażliwych danych. Jedynym pocieszeniem może być fakt, że próba ich zdobycia nie mogła zostać przeprowadzona zdalnie – atakujący musiał mieć fizyczny dostęp do stacji roboczej.

W dniu publikacji podatności na stronie chińskiego producenta pojawiła się aktualizacja oprogramowania z łatką. Zaleca się jak najszybszą instalację Fingerprint Manager Pro do wersji 8.01.87, która dostępna jest od 25 stycznia. Odkryta podatność nie dotyczy użytkowników Lenovo z zainstalowanym Windows 10. Za biometrię od 2015 roku, czyli momentu premiery systemu, odpowiada Windows Hello.

Lista podatnych modeli Lenovo ThinkPad:

• ThinkPad L560
• ThinkPad P40 Yoga, P50s
• ThinkPad T440, T440p, T440s, T450, T450s, T460, T540p, T550, T560
• ThinkPad W540, W541, W550s
• ThinkPad X1 Carbon (Type 20A7, 20A8), X1 Carbon (Type 20BS, 20BT)
• ThinkPad X240, X240s, X250, X260
• ThinkPad Yoga 14 (20FY), Yoga 460
• ThinkCentre M73, M73z, M78, M79, M83, M93, M93p, M93z
• ThinkStation E32, P300, P500, P700, P900