Fehlerhafte Fingerabdruck-Software

Kritische Lücke in Lenovo-Business-Notebooks

von - 30.01.2018
Lenovo Fingerprint Scanner
Foto: KYTan / shutterstock.com
Lenovo warnt Nutzer seiner ThinkPad-Serie vor einem Fehler in seinem Fingerabdruck-Tool. Das Problem betrifft Systeme mit Windows 7, 8 und 8.1. Ein entsprechendes Update steht auf der Webseite des Herstellers zur Verfügung.
Lenovo warnt vor einer kritischen Sicherheitslücke in seinem Tool "Fingerprint Manager Pro". Ein entsprechendes Security Update hat der Hersteller bereits veröffentlicht.
Betroffen sind laut Lenovo nur  Nutzer, die mit Windows 7, 8 oder 8.1 arbeiten. Systeme mit Windows 10 hingegen würden für die Authentifizierung per Fingerabdruck den integrierten Scanner von Microsoft verwenden. Dieser sei nicht von der Lücke affektiert.
Über den Fingerprint Manager Pro ist es Nutzern möglich, sich ohne Passwort an ihrem Gerät anzumelden oder auch auf entsprechend konfigurierten Webseiten einzuloggen. Sensible Daten wie zum Beispiel der Windows-Login und der Fingerabdruck selbst werden über die Software gespeichert. Der Algorithmus zur Verschlüsselung dahinter sei allerdings relativ schwach, schreibt Lenovo. Dafür werde ein fest codiertes Passwort verwendet.
Jeder mit physischem Zugriff auf das Gerät könnte diese Daten auslesen. Dafür wären keine gesonderten Administrations-Rechte notwendig.
Konkret betroffen sind laut Hersteller folgende Geräte:
  • ThinkPad L560
  • ThinkPad P40 Yoga, P50s
  • ThinkPad T440, T440p, T440s, T450, T450s, T460, T540p, T550, T560
  • ThinkPad W540, W541, W550s
  • ThinkPad X1Carbon (Type 20A7, 20A8), X1 Carbon (Type 20BS, 20BT)
  • ThinkPad X240, X240s, X250, X260
  • ThinkPad Yoga 14 (20FY), Yoga 460
  • ThinkCenter M73, M73z, M78, M79, M83, M93, M93p, M93z
  • ThinkStation E32, P300, P500, P700, P900
Nutzern dieser Geräte wird dringend empfohlen den Fingerprint Manager Pro auf die bereitgestellte Version 8.01.87 oder jünger (sobald verfügbar) zu aktualisieren.
Der aktuelle Software-Fehler reiht sich hinter zahlreiche weitere Security-Probleme, mit denen Lenovo in den vergangenen Jahren immer wieder zu kämpfen hatte. Im Jahr 2015 etwa musste der Konzern gleich zwei große Sicherheitspannen melden. Im Februar 2015 zum Beispiel gab Lenovo bekannt, dass verschiedene Geräte ab Werk mit der Superfish-Adware ausgeliefert wurden. Es folgte eine Entschuldigung und ein entsprechender Fix.
Schon im November desselben Jahres kursierten abermals Berichte über ein Sicherheitsproblem in den Geräten des chinesischen Herstellers. Diesmal war es Angreifern möglich, sich über eine fehlerhafte Lenovo-Update-Software unerlaubt Administrationsrechte zu verschaffen.
Verwandte Themen