Af Torben B. Sørensen, 01/02/18
Lenovo Fingerprint Manager Pro gør det muligt at logge ind på en Lenovo-pc ved hjælp af et fingeraftryk. For at kunne gøre det opbevarer programmet blandt andet brugerens brugernavn og password i krypteret form.
En sikkerhedsforsker har opdaget, at programmet anvender en svag form for kryptering. Endvidere findes der et standardpassword, som kan give enhver bruger af pc'en adgang til data. Dermed kan en almindelig bruger finde frem til brugernavn og password for administratorbrugere.
En angriber skal have adgang til pc'en for at kunne udnytte sårbarheden.
Lenovo Fingerprint Manager Pro fås til Windows 7, 8 og 8.1. Programmet findes ikke til Windows 10, der har indbygget understøttelse af fingeraftryk.
Fejlen er rettet i version 8.01.87.
Anbefaling
Opdater til den rettede version.
Links
- Lenovo Fingerprint Manager Pro for Windows 7, 8, and 8.1 only (not 10) Insecure Credential Storage
- Lenovo's craptastic fingerprint scanner has a hardcoded password, artikel fra The Register
- Lenovo's Fingerprint Scanner Can Be Bypassed via a Hardcoded Password, artikel fra Bleeping Computer
- Lenovo Fixes Hardcoded Password Flaw Impacting ThinkPad Fingerprint Scanners, artikel fra Kaspersky Threatpost
- Lenovo Addresses Hardcoded Password in Fingerprint Manager, artikel fra SecurityWeek