Lenovo ha pubblicato un aggiornamento per l’applicazione che sovrintende il funzionamento del lettore di impronte digitali integrato nei suoi sistemi ThinkPad, ThinkCentre e ThinkStation.
I tecnici di Lenovo hanno spiegato che Fingerprint Manager Pro, il programma che permette il login in Windows e sui siti web utilizzando semplicemente la scansione dell’impronta digitale, soffre di una vulnerabilità.
I dati sensibili conservati da Fingerprint Manager Pro, comprese le credenziali di login in Windows e i dati delle impronte digitali, sono crittografati ricorrendo a un algoritmo debole. Inoltre, il programma include una password hard-coded (alla quale è possibile risalire esaminando il codice di Fingerprint Manager Pro) utilizzabile da chiunque disponga di un account, anche sprovvisto dei diritti di amministratore.
Un aggressore che abbia la disponibilità fisica del dispositivo da attaccare, può quindi accedere a Windows senza averne titolo decodificando anche i dati delle impronte digitali altrui.
Le versioni di Lenovo Fingerprint Manager Pro affette dal problema sono quelle sviluppate per Windows 7, Windows 8 e Windows 8.1. La release 8.01.87 del programma, appena rilasciata, risolve il problema di sicurezza.
Maggiori informazioni, l’elenco dei dispositivi interessati e il link per il download dell’aggiornamento, sono disponibili in questa pagina.
Aggiornamento. Pubblichiamo volentieri il commento che Lenovo ha fatto pervenire in redazione.
“Un ricercatore ha segnalato a Lenovo l’esistenza di una vulnerabilità nel software Fingerprint Manager Pro utilizzato su alcuni PC di Lenovo. Lenovo ha collaborato con Softex, il fornitore del software in questione, e Softex ha fornito una soluzione, che è ora disponibile. È possibile consultare la lista dei PC interessati e i dettagli della patch direttamente sul sito ufficiale“.