Computer sikkerhed forskere afsløret en farlig sikkerhedsbrist i Lenovo Fingerprint Manager Pro app. Ifølge rapporterne fingeraftrykket sikkerhedsgodkendelse kan nemt omgås ved malware brugere ved at indtaste en hårdt kodet adgangskode.
Lenovo Fingerprint Manager Pro kan omgås På grund af en Security Bug
Lenovo har offentliggjort en kritisk sikkerhedsrettelse til deres Fingerprint Manager Pro nytte på grund af en farlig sårbarhed, der for nylig er blevet opdaget. Ifølge de sikkerhedsrapporter programmet, der er ansvarlig for forvaltningen af de fingeraftryksoplysninger legitimationsoplysninger indeholder en hårdt kodet adgangskode, som kan bruges til at tilsidesætte godkendelsesprocessen.
Softwaren er kompatibel med alle større versioner af Microsoft Windows-familien (Vinduer 7, 8 og 8.1) og gør det muligt for Lenovo kunder ikke blot til opsætning af operativsystemet lås, men også gemme web services legitimationsoplysninger samt. Som det viser sig dette kan være ekstremt farligt i tilstedeværelsen af sådanne fejl som malware operatører kan få adgang til bank konti ved hjælp af det. De fingeraftryk legitimationsoplysninger selv er krypteret med en svag algoritme i henhold til de nutidige sikkerhedsstandarder.
Som et resultat af de sårbarhed malware brugere med fysisk adgang til maskinerne kan indtaste adgangskoden og modtage ubegrænset adgang til målcomputerne. Hvis offeret brugerne også har konfigureret nogen banktjenester til at godkende webtjenester ved hjælp af fingeraftryk scanning og lagret password legitimationsoplysninger, så de kan tilgås samt.
Det er muligt at kompromittere målcomputerne eksternt ved at indlejre den malware kode i en virus eller trojanske. Sådanne angreb kan blive brugt imod brugere af Lenovo-produkter. Erfarne it-kriminelle kan nemt oprette lister over mulige ofre ved at erhverve dem gennem virksomhedens fora og brugergrupper.
Yderligere oplysninger om Lenovo Fingerprint Security Bug
Fejlen afsløring læser, at fejlen påvirker produkter på tværs af alle områder, der tilbydes af virksomheden - ThinkPad, ThinkCentre og ThinkStaton bærbare computere, samt desktop-modeller.
Fejlen er også spores under CVE-2017-3762 rådgivende der læser den følgende:
Følsomme data, der gemmes af Lenovo Fingerprint Manager Pro, udgave 8.01.86 og tidligere, herunder brugere’ Windows logon legitimationsoplysninger og fingeraftryksdata, er krypteret ved anvendelse af en svag algoritme, indeholder en hårdt kodet adgangskode, og er tilgængelig for alle brugere med lokale ikke-administrativ adgang til systemet, hvor det er installeret.
Den komplette liste omfatter følgende produkter der er kompatible med Fingerprint Manager Pro og dermed sårbar over for fejlen:
- ThinkPad L560
- ThinkPad P40 Yoga, P50s
- ThinkPad T440, T440p, T440s, T450, T450s, T460, T540p, T550, T560
- ThinkPad W540, W541, W550s
- ThinkPad X1 Carbon (Type 20A7, 20A8), X1 Carbon (Type 20BS, 20BT)
- ThinkPad x240, X240s, X250, X260
- ThinkPad Yoga 14 (20FY), Yoga 460
- ThinkCentre M73, M73z, M78, M79, M83, M93, M93p, M93z
- ThinkStation E32, P300, P500, P700, P900
Alle brugere bør straks opgradere til udgave 8.01.87 eller senere at behandle spørgsmålet. Brugere af Microsoft Windows 10 påvirkes ikke, da operativsystemet kan interface direkte med fingeraftrykslæseren.
Martin Beltov
Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.
Følg mig: