Sok sebből vérzik a Lenovo ujjlenyomatos azonosítása

​A Lenovo egy fontos biztonsági hibajavítást adott ki az ujjlenyomatos hitelesítést kezelő alkalmazásához. Sok ThinkPad notebook érintett.
 

Jackson Thuraisamy biztonsági kutató hívta fel a figyelmét a Lenovo fejlesztőinek, hogy az ujjlenyomatos azonosítást biztosító Windows-os alkalmazásuk sok sebből vérzik. Noha a szoftvernek éppen a biztonság megerősítése lenne a célja, a sebezhető verziók pont ellenkező hatást válthatnak ki, és veszélybe sodorhatják a felhasználók adatait. 

A Lenovo által fejlesztett Fingerprint Manager Pro szoftver feladata, hogy kényelmesebbé tegye a bejelentkezést az operációs rendszerbe, és az azonosítási folyamatba bevonja az ujjlenyomat-olvasó által szolgáltatott adatokat. A probléma azonban az, hogy az alkalmazásba több biztonsági hiba is csúszott a fejlesztése során.

Az első probléma, hogy a szoftver gyenge titkosítási algoritmust használ a Windows-os hitelesítő adatok tárolásához. Ráadásul ezekhez az adatokhoz bárki hozzáférhet az érintett számítógépeken, akár egy sima, lokális felhasználói fiókon keresztül is. Az pedig már csak "hab a tortán", hogy az alkalmazásba valamilyen rejtélyes ok miatt egy beégetett jelszó is megtalálható, aminek segítségével dekódolhatóvá válhatnak a felhasználó Windows által kezelt hitelesítő adatai, valamint a biometrikus azonosításhoz lementett információk. 

A Lenovo elismerte a hibák létezését, és a Fingerprint Manager Pro 8.01.87-es verziójának kiadásával orvosolta azokat. Az érintett számítógépek pedig a következők:
ThinkPad L560
ThinkPad P40 Yoga, P50s
ThinkPad T440, T440p, T440s, T450, T450s, T460, T540p, T550, T560
ThinkPad W540, W541, W550s
ThinkPad X1 Carbon (Type 20A7, 20A8), X1 Carbon (Type 20BS, 20BT)
ThinkPad X240, X240s, X250, X260
ThinkPad Yoga 14 (20FY), Yoga 460
ThinkCentre M73, M73z, M78, M79, M83, M93, M93p, M93z
ThinkStation E32, P300, P500, P700, P900