Computer beveiliging onderzoekers ontdekt een gevaarlijke beveiligingsprobleem in de Lenovo Fingerprint Manager Pro app. Volgens de rapporten kan de vingerafdruk beveiligingsverificatie eenvoudig worden omzeild door malware gebruikers door het invoeren van een hard-coded wachtwoord.
Lenovo Fingerprint Manager Pro omzeild kan worden Door een Security Bug
Lenovo heeft een kritieke beveiligingspatch voor hun vingerafdruk Manager Pro nut gepubliceerd vanwege een gevaarlijke kwetsbaarheid die onlangs is ontdekt. Volgens de veiligheidsrapporten het programma dat verantwoordelijk is voor het beheer van de vingerafdruk geloofsbrieven bevat een hard-coded wachtwoord die kunnen worden gebruikt om het verificatieproces overschrijven.
De software is compatibel met alle belangrijke versies van de familie van Microsoft Windows (Windows 7, 8 en 8.1) en laat Lenovo klanten niet alleen het instellen van het besturingssysteem lock, maar ook opslaan web services geloofsbrieven ook. Zoals blijkt kan dit zeer gevaarlijk in de aanwezigheid van dergelijke bugs als malware operators hebt toegang tot bankrekeningen gebruiken. De vingerafdruk geloofsbrieven zelf worden versleuteld met behulp van een zwak algoritme volgens de hedendaagse veiligheidsnormen.
Als gevolg van de kwetsbaarheid malware gebruikers met fysieke toegang tot de machines kan het wachtwoord in te voeren en ontvang onbeperkte toegang tot de doelcomputer. Als het slachtoffer gebruikers hebben ook instellen dat elke bankdiensten te authenticeren webservices met behulp van de vingerafdruk scan en opgeslagen wachtwoord referenties, dan kunnen ze ook worden benaderd.
Het is mogelijk om het doel computers op afstand kan beschadigen door het inbedden van de malware code in een virus of Trojaans paard. Dergelijke aanvallen kunnen worden gebruikt tegen gebruikers van Lenovo-producten. Ervaren computer criminelen kunnen eenvoudig lijsten van potentiële slachtoffers te maken door ze te verwerven door middel van bedrijf forums en gebruikersgroepen.
Verdere details over de Lenovo Fingerprint Security Bug
De bug openbaarmaking leest dat de bug gevolgen producten over alle bereiken aangeboden door het bedrijf - ThinkPad, ThinkCentre en ThinkStaton laptops, evenals desktop modellen.
De bug wordt ook gevolgd in het kader van de CVE-2017-3762 adviserende die leest de volgende:
Gevoelige gegevens opgeslagen door Lenovo Fingerprint Manager Pro, versie 8.01.86 en eerder, met inbegrip van gebruikers’ Aanmeldingsreferenties voor Windows-gegevens en vingerafdrukken, versleuteld met een zwak algoritme, bevat een hard-coded wachtwoord, en is toegankelijk voor alle gebruikers met lokale non-administratieve toegang tot het systeem waarin deze is geïnstalleerd.
De volledige lijst omvat de volgende producten die compatibel zijn met de Fingerprint Manager Pro en dus kwetsbaar zijn voor de bug zijn:
- ThinkPad L560
- ThinkPad P40 Yoga, P50s
- ThinkPad T440, T440p, T440s, T450, T450s, T460, T540p, T550, T560
- ThinkPad W540, W541, W550s
- ThinkPad X1 Carbon (Type 20A7, 20A8), X1 Carbon (Type 20BS, 20BT)
- ThinkPad X240, X240s, X250, X260
- ThinkPad Yoga 14 (20FY), Yoga 460
- ThinkCentre M73, M73z, M78, M79, M83, M93, M93p, M93z
- ThinkStation E32, P300, P500, P700, P900
Alle gebruikers dienen onmiddellijk te upgraden naar versie 8.01.87 of later het probleem aankaarten. Gebruikers van Microsoft Windows 10 onverlet het besturingssysteem direct kunnen communiceren met de vingerafdruklezer.