Provjera otiska prsta je već vrlo zrelo sigurnosno rješenje, ali rizik uvijek postoji. Lenovo je priznao ranjivost svog softver Manager Pro za provjeru otiska namjenjenog prijavu uza računalo, koja omogućava napadaču pristup podacima u uređaju i krađu osjetljivih podataka.
Lenovo ranjivost u softveru za otiske prstiju odnosi se na modele laptopa koje pokreće verzija sustava Microsoft Windows 7, 8. Propust se ne odnosi na one uređaje pokretane Microsoft Windows 10/ 10.1, jer dolaze s nativnom podrškom za tehnologiju čitača otiska prstiju.
Osjetljivi korisnički podaci (oni za prijavu u sustav Windows i otiska prsta) pohranjuju se u Lenovo Fingerprint Manager softveru, ali šifriraju pomoću slabog krhkog algoritma, koji sadržava hard-kodnu lozinku i dostupan je svim korisnicima s lokalnim ne-administrativnim pristupom u sustavu. Nažalost, kaže Lenovo, također je nepropisno provedena zaštita te pohranjene vjerodajnice, čime ste daleko manje sigurni nego što bi trebali biti.
https://www.youtube.com/watch?v=JRA34PzvANg
Popis Lenovo uređaja koji imaju sigurnosni propust
Lenovo kaže da je ranjivo više od dvadeset modela ThinkPad, pet modela ThinkStation i osam ThinkCentre. To su sljedeći uređaji:
• ThinkPad L560
• ThinkPad P40 Yoga, P50s
• ThinkPad T440, T440p, T440s, T450, T450s, T460, T540p, T550, T560
• ThinkPad W540, W541, W550s
• ThinkPad X1 Carbon (Type 20A7, 20A8), X1 Carbon (Type 20BS, 20BT)
• ThinkPad X240, X240s, X250, X260
• ThinkPad Yoga 14 (20FY), Yoga 460
• ThinkCentre M73, M73z, M78, M79, M83, M93, M93p, M93z
• ThinkStation E32, P300, P500, P700, P900
Ako posjedujete neki od gore navedenih Lenovo modela, potrebno je nadograditi Fingerprint Manager Pro softver na verziju 8.01.87 ili noviju. To možete učiniti klikom ovdje .
Ovo nije prvi problem vezan uz sigurnost Lenovo računala. U 2015. godini tvrtka je instalirala adware pod nazivom Superfish, na nova potrošačka računala tvrtke koji se aktivirao kada se prvi put uređaj izvadio iz kutije. Softver je injektirao oglase trećih strana na Google pretraživanja i web stranice bez dopuštenja korisnika.
Nedostatak u Fingerprint Manageru je otkrio Jackson Thuraisamy, savjetnik za Security Compassom.