Дактилоскопічний сканер Lenovo можна обдурити за допомогою жорстко закодованого пароля
Інженери Lenovo випустили екстрене оновлення для програми-сканера відбитків пальців, Fingerprint Manager Pro, яке працює з пристроями ThinkPad, ThinkCentre і ThinkStation.
Додаток Fingerprint Manager Pro призначений для операційних систем Windows 7, 8 і 8.1 і дозволяє власникам пристроїв Lenovo використовувати відбиток пальця замість логіна і пароля (самі облікові даних зберігаються в додатку), здійснюючи таким чином вхід в ОС або аутентифікацію на різних сайтах.
згідно з офіційним повідомленням компанії, Fingerprint Manager Pro версії 8.01.86 і нижче містить уразливість, яка дістала ідентифікатор CVE-2017-3762 . По суті, програма має жорстко закодований пароль і використовує слабкий алгоритм шифрування, що дозволяє будь-якому локальному атакуючому отримати доступ до всіх даних. Проблема виявляється в наступних моделях:
- ThinkPad L560;
- ThinkPad P40 Yoga, P50s;
- ThinkPad T440, T440p, T440s, T450, T450s, T460, T540p, T550, T560;
- ThinkPad W540, W541, W550s;
- ThinkPad X1 Carbon (20A7, 20A8), X1 Carbon (20BS, 20BT);
- ThinkPad X240, X240s, X250, X260;
- ThinkPad Yoga 14 (20FY), Yoga 460;
- ThinkCentre M73, M73z, M78, M79, M83, M93, M93p, M93z;
- ThinkStation E32, P300, P500, P700, P900.
Всім власникам вразливих пристроїв рекомендується якомога швидше оновити Fingerprint Manager Pro до версії 8.01.87 . При цьому розробники окремо відзначають, що користувачі Windows 10 знаходяться поза небезпекою, так як у всіх версіях «Десятки» використовується власне дактилоскопічної додаток-сканер, створене Microsoft.