12

Lenovo przyznaje się do… słabego zabezpieczenia czytników linii papilarnych

Jeżeli jesteś posiadaczem biznesowego komputera Lenovo i masz system operacyjny starszy niż Windows 10, możesz mieć problem. Jak się okazuje, aplikacja kontrolująca czytnik biometryczny bardzo słabo chroniła dane użytkownika.

Lenovo Fingerprint Manager Pro to aplikacja, która zarządza czytnikiem linii papilarnych w biznesowych komputerach Lenovo pracujących pod kontrolą systemów Windows 7, 8 i 8.1. Jeżeli z niej korzystasz, lepiej sprawdź, czy masz wersję 8.01.87 lub nowszą.

Firma przyznała się, że niejaki Jackson Thuraisamy z firmy Security Compass zwrócił uwagę na poważne dziury w aplikacji Fingerprint Manager Pro. Wrażliwe informacje, takie jak dane logowania do systemu Windows czy dane z czytnika linii papilarnych, były przechowywane w tym programie z wykorzystaniem bardzo słabych algorytmów szyfrujących. Co ważniejsze, hasło miało być w sposób niezaszyfrowany umieszczone w kodzie oprogramowania. Zdobyć te wrażliwe dane mogli wszyscy użytkownicy posiadający dostęp do maszyny, nawet bez uprawnień administratora.

Zagrożonych jest kilkadziesiąt modeli komputerów

Każdy, kto korzysta z Lenovo Fingerprint Manager Pro do logowania w systemie czy uwierzytelniania na stronach internetowych, powinien więc czym prędzej sprawdzić zainstalowaną wersję tego oprogramowania. Potencjalnie zagrożone mogą być takie komputery jak:

  • ThinkPad P40 Yoga, P50s
  • ThinkPad L560
  • ThinkPad T440, T440p, T440s, T450, T450s, T460, T540p, T550, T560
  • ThinkPad W540, W541, W550s
  • ThinkPad X1 Carbon (Type 20A7, 20A8), X1 Carbon (Type 20BS, 20BT)
  • ThinkPad X240, X240s, X250, X260
  • ThinkPad Yoga 14 (20FY), Yoga 460
  • ThinkCentre M73, M73z, M78, M79, M83, M93, M93p, M93z
  • ThinkStation E32, P300, P500, P700, P900

Oczywiście największe ryzyko dotyczy laptopów z rodziny ThinkPad, bo to w nich najczęściej czytnik linii papilarnych montowany jest seryjnie. Nie ma co, dziurawa jak ser szwajcarski aplikacja zarządzająca sprzętowymi zabezpieczeniami to poważna wpadka.

Pozostaje się pocieszać, że prawdopodobnie spora część użytkowników skorzystała w swoich maszynach z aktualizacji do Windows 10. Sam zresztą po paru miesiącach od zakupu zrobiłem to w swoim ThinkPadzie T450s. Ten system posiada zintegrowaną kontrolę nad czytnikiem linii papilarnych. Feralna aplikacja nie jest więc już potrzebna. Ci, którzy wciąż korzystają z Fingerprint Manager Pro, bo ich ThinkPady nadal działają na Windows 7 czy 8.1, lepiej niech sprawdzą wersję aplikacji. Wydanie wolne od luk dostępne jest na serwerach Lenovo od 12. stycznia tego roku.

Trzeba przyznać, że błędy w oprogramowaniu pojawiały się w zeszły roku dosyć często, a i w 2018 nie zanosi się na poprawę pod tym względem. Spora część użytkowników zobojętniała więc już na kolejne raporty o pojawiających się zagrożeniach. W tej sytuacji pozostaje tylko mieć nadzieję, że dostawcy rozwiązań nie będą zamiatać brudów pod dywan i niestrudzenie łatać wszelkie luki.

Źródło: Lenovo via theregister