Lenovo ha rilasciato un aggiornamento per il tool che gestisce i dati delle impronte digitali su alcuni notebook delle serie ThinkPad, ThinkCentre e ThinkStation. La nuova versione del software corregge una grave vulnerabilità che poteva essere sfruttata per accedere liberamente al sistema operativo. Il bug era presente nel Lenovo Fingerprint Manager Pro compatibile con le vecchie versioni di Windows.
I notebook più recenti offrono un sistema di autenticazione più sicuro, in quanto integrato direttamente nel sistema operativo. La funzionalità Windows Hello di Windows 10 supporta sia il lettore di impronte digitali che il riconoscimento facciale. Sui vecchi modelli basati su Windows 7, 8 e 8.1 è invece installato il tool Lenovo Fingerprint Manager Pro che permette agli utenti di accedere al PC e ai siti web, utilizzando le impronte digitali. Gli esperti di Security Compass hanno scoperto una vulnerabilità nell’utility che consente di eludere la protezione del sistema biometrico.
Il bug, considerato piuttosto serio, era dovuto alla “debolezza” dell’algoritmo crittografico usato dal tool per memorizzare le credenziali di login e i dati associati alle impronte digitali. Lenovo aveva inoltre inserito nel codice una password “hard-coded”. Un eventuale malintenzionato poteva quindi accedere al sistema senza avere privilegi di amministratore. Fortunatamente la vulnerabilità non era sfruttabile via Internet.
Questi sono i prodotti per i quali è stato rilasciato l’aggiornamento (8.01.87) di Lenovo Fingerprint Manager Pro:
- ThinkPad L560
- ThinkPad P40 Yoga, P50s
- ThinkPad T440, T440p, T440s, T450, T450s, T460, T540p, T550, T560
- ThinkPad W540, W541, W550s
- ThinkPad X1 Carbon (Type 20A7, 20A8), X1 Carbon (Type 20BS, 20BT)
- ThinkPad X240, X240s, X250, X260
- ThinkPad Yoga 14 (20FY), Yoga 460
- ThinkCentre M73, M73z, M78, M79, M83, M93, M93p, M93z
- ThinkStation E32, P300, P500, P700, P900
Il tool non è necessario se l’utente installa Windows 10.