les chercheurs en sécurité informatique ont découvert une faille de sécurité dans le dangereux Lenovo Fingerprint Gest Pro. Selon les rapports de l'authentification de sécurité d'empreintes digitales peut être facilement contournée par les utilisateurs malveillants en entrant un mot de passe codés en dur.
Lenovo Fingerprint Manager Pro peut être contournée en raison d'un bogue de sécurité
Lenovo a publié un correctif de sécurité critique pour leur empreinte digitale utilitaire Gestionnaire Pro en raison d'une vulnérabilité dangereuse qui a été récemment découvert. Selon les rapports de sécurité, le programme qui est responsable de la gestion des informations d'identification d'empreintes digitales contient un mot de passe codés en dur qui peut être utilisé pour remplacer le processus d'authentification.
Le logiciel est compatible avec toutes les versions principales de la famille Microsoft Windows (Fenêtres 7, 8 et 8.1) et permet aux clients Lenovo non seulement de configurer le verrouillage du système d'exploitation, mais aussi de stocker les informations d'identification de services Web ainsi. Il se trouve que cela peut être extrêmement dangereux en présence de ces insectes que les opérateurs de logiciels malveillants peuvent accéder à des comptes bancaires utilisant. Les informations d'identification d'empreintes digitales se sont chiffrés à l'aide d'un algorithme faible selon les normes de sécurité actuelles.
En conséquence des utilisateurs de logiciels malveillants de vulnérabilité avec l'accès physique aux machines peuvent entrer le mot de passe et recevoir un accès illimité aux ordinateurs cibles. Si les utilisateurs des victimes ont également configuré les services bancaires pour authentifier les services Web à l'aide de l'analyse des empreintes digitales et des informations d'identification de mot de passe stockés, ils sont accessibles aussi bien.
Il est possible de compromettre les ordinateurs cibles à distance en intégrant le code malveillant dans un virus ou cheval de Troie. De telles attaques peuvent être utilisés contre les utilisateurs de produits Lenovo. criminels informatiques expérimentés peuvent facilement créer des listes de victimes potentielles en les acquérant à travers des forums d'entreprises et des communautés d'utilisateurs.
D'autres détails à propos du bogue de sécurité d'empreintes digitales Lenovo
La divulgation de bogue lit que les impacts de bugs produits dans toutes les gammes proposées par la société - ThinkPad, ThinkCentre et ordinateurs portables ThinkStaton, ainsi que des modèles de bureau.
Le bug est suivi également sous la conseil CVE-2017-3762 qui lit ce qui suit:
Les données sensibles stockées par Lenovo Fingerprint Manager Pro, version 8.01.86 et plus tôt, y compris les utilisateurs’ les informations d'identification d'ouverture de session Windows et les données d'empreintes digitales, est crypté en utilisant un algorithme faible, contient un mot de passe codé en dur, et est accessible à tous les utilisateurs un accès non-administratif local au système dans lequel il est installé.
La liste complète comprend les produits suivants qui sont compatibles avec le gestionnaire d'empreintes digitales Pro et par conséquent vulnérables au bogue:
- ThinkPad L560
- ThinkPad P40 Yoga, P50s
- ThinkPad T440, T440p, T440s, T450, T450s, T460, T540p, T550, T560
- ThinkPad W540, W541, W550s
- ThinkPad X1 Carbon (Type 20A7, 20A8), X1 Carbon (Type 20Bs, 20BT)
- ThinkPad X240, X240s, X250, X260
- Yoga ThinkPad 14 (20FY), Yoga 460
- ThinkCentre M73, M73z, M78, M79, M83, M93, M93p, M93z
- ThinkStation E32, P300, P500, P700, P900
Tous les utilisateurs doivent mettre à jour immédiatement version 8.01.87 ou plus tard pour régler le problème. Les utilisateurs de Microsoft Windows 10 ne sont pas affectés comme le système d'exploitation peut se connecter directement avec le lecteur d'empreintes digitales.