Lenovo się biczuje – skanowanie odcisków palców na laptopach z bezpieczeństwem na poziomie przedszkola

Tym razem Lenovo nie stara się zatuszować sprawy (brawo!). Co dopiero wydana aktualizacja dotyka narzędzia Lenovo Fingerprint Manager Pro – instalowanego domyślnie na dużej liczbie laptopów Lenovo wyposażonych w czytnik linii papilarnych:

Lenovo Fingerprint Manager Pro is a utility for Windows 7, 8 and 8.1 that allows users to log into their PCs or authenticate to configured websites using fingerprint recognition.

W czym problem? Jak wynika z nazwy narzędzia „Pro” (!) –  każdy lokalny użytkownik (prawa admina nie są konieczne) może sięgnąć do danych przechowywanych w Fingerprint Managerze. Choćby po dane uwierzytelniające innych użytkowników (ciekawe swoją drogą czy również po skan linii papilarnych innych użytkowników…). Informacje te są (czy raczej były) przechowywane ’słabym algorytmem szyfrującym’, a jako bonus mamy zahardkodowane hasło…:

Sensitive data stored by Lenovo Fingerprint Manager Pro, including users’ Windows logon credentials and fingerprint data, is encrypted using a weak algorithm, contains a hard-coded password, and is accessible to all users with local non-administrative access to the system it is installed in.

Podatne są różne modele laptopów: ThinkPad T440, T440p, T440s, T450, T450s, T460, T540p, T550, T560; ThinkPad W540, W541, W550s; ThinkPad X1 Carbon; ThinkPad X240, X240s, X250, X260. Więcej modeli i szczegóły tutaj.

Na koniec pocieszenie – jeśli używacie Windowsa 10 na Waszych laptopach, ta podatność Was nie dotyka – Lenovo korzysta w tym przypadku z wbudowanych mechanizmów „dziesiątki”.

–ms