コンピューターセキュリティの研究者は、Lenovo FingerprintManagerProアプリの危険なセキュリティの脆弱性を発見しました. レポートによると、ハードコードされたパスワードを入力することで、マルウェアユーザーは指紋セキュリティ認証を簡単に回避できます。.
Lenovo Fingerprint Manager Proは、セキュリティバグのためにバイパスされる可能性があります
最近発見された危険な脆弱性のため、LenovoはFingerprintManagerProユーティリティの重要なセキュリティパッチを公開しました. セキュリティレポートによると、指紋クレデンシャルの管理を担当するプログラムには、認証プロセスを上書きするために使用できるハードコードされたパスワードが含まれています.
このソフトウェアは、MicrosoftWindowsファミリのすべてのメジャーバージョンと互換性があります (ウィンドウズ 7, 8 と 8.1) また、Lenovoのお客様はオペレーティングシステムのロックを設定できるだけでなく、, Webサービスのクレデンシャルも保存します. マルウェアオペレーターがそれを使用して銀行口座にアクセスできるなどのバグが存在する場合、これは非常に危険である可能性があります。. 指紋のクレデンシャル自体は、最新のセキュリティ標準に従って弱いアルゴリズムを使用して暗号化されています.
脆弱性の結果として、マシンに物理的にアクセスできるマルウェアユーザーは、パスワードを入力して、ターゲットコンピューターに無制限にアクセスできるようになります。. 被害者のユーザーが、指紋スキャンと保存されたパスワードクレデンシャルを使用してWebサービスを認証するように銀行サービスも構成している場合, その後、それらにもアクセスできます.
マルウェアコードをウイルスまたはトロイの木馬に埋め込むことにより、ターゲットコンピュータをリモートで侵害する可能性があります. このような攻撃は、Lenovo製品のユーザーに対して使用される可能性があります. 経験豊富なコンピューター犯罪者は、企業のフォーラムやユーザーコミュニティを通じて被害者を取得することで、被害者の可能性のあるリストを簡単に作成できます。.
Lenovo指紋セキュリティバグに関する詳細
バグの開示によると、バグは会社が提供するすべての範囲の製品に影響を及ぼします— ThinkPad, ThinkCentreおよびThinkStatonラップトップ, デスクトップモデルと同様に.
バグはまた、 CVE-2017-3762アドバイザリ これは次のようになります:
Lenovo FingerprintManagerProによって保存された機密データ, バージョン 8.01.86 およびそれ以前, ユーザーを含む’ Windowsログオン資格情報と指紋データ, 弱いアルゴリズムを使用して暗号化されます, ハードコードされたパスワードが含まれています, また、インストールされているシステムへのローカルの非管理アクセス権を持つすべてのユーザーがアクセスできます.
完全なリストには、Fingerprint Manager Proと互換性があり、その結果バグに対して脆弱な次の製品が含まれています:
- ThinkPad L560
- ThinkPadP40ヨガ, P50
- ThinkPad T440, T440p, T440, T450, T450, T460, T540p, T550, T560
- ThinkPad W540, W541, W550s
- ThinkPad X1 Carbon (タイプ20A7, 20A8), X1カーボン (タイプ20BS, 20BT)
- ThinkPad X240, X240s, X250, X260
- ThinkPadヨガ 14 (20年度), ヨガ 460
- ThinkCentre M73, M73z, M78, M79, M83, M93, M93p, M93z
- ThinkStation E32, P300, P500, P700, P900a
すべてのユーザーはすぐににアップグレードする必要があります バージョン 8.01.87 以上 問題に対処する. MicrosoftWindowsのユーザー 10 オペレーティングシステムは指紋リーダーと直接インターフェースできるため、影響を受けません.
マーティン・ベルトフ
マーティンはソフィア大学で出版の学位を取得して卒業しました. サイバーセキュリティ愛好家として、彼は侵入の最新の脅威とメカニズムについて書くことを楽しんでいます.
フォローしてください: