Lenovo warnt vor einer kritischen Sicherheitslücke in seinem Tool "Fingerprint Manager Pro". Ein entsprechendes Security Update hat der Hersteller bereits veröffentlicht.
Betroffen sind laut Lenovo nur Nutzer, die mit Windows 7, 8 oder 8.1 arbeiten. Systeme mit Windows 10 hingegen würden für die Authentifizierung per Fingerabdruck den integrierten Scanner von Microsoft verwenden. Dieser sei nicht von der Lücke affektiert.
Über den Fingerprint Manager Pro ist es Nutzern möglich, sich ohne Passwort an ihrem Gerät anzumelden oder auch auf entsprechend konfigurierten Webseiten einzuloggen. Sensible Daten wie zum Beispiel der Windows-Login und der Fingerabdruck selbst werden über die Software gespeichert. Der Algorithmus zur Verschlüsselung dahinter sei allerdings relativ schwach, schreibt Lenovo. Dafür werde ein fest codiertes Passwort verwendet.
Jeder mit physischem Zugriff auf das Gerät könnte diese Daten auslesen. Dafür wären keine gesonderten Administrations-Rechte notwendig.
- ThinkPad L560
- ThinkPad P40 Yoga, P50s
- ThinkPad T440, T440p, T440s, T450, T450s, T460, T540p, T550, T560
- ThinkPad W540, W541, W550s
- ThinkPad X1Carbon (Type 20A7, 20A8), X1 Carbon (Type 20BS, 20BT)
- ThinkPad X240, X240s, X250, X260
- ThinkPad Yoga 14 (20FY), Yoga 460
- ThinkCenter M73, M73z, M78, M79, M83, M93, M93p, M93z
- ThinkStation E32, P300, P500, P700, P900
Nutzern dieser Geräte wird dringend empfohlen den Fingerprint Manager Pro auf die bereitgestellte
Version 8.01.87 oder jünger (sobald verfügbar) zu aktualisieren.
Der aktuelle Software-Fehler reiht sich hinter zahlreiche weitere Security-Probleme, mit denen Lenovo in den vergangenen Jahren immer wieder zu kämpfen hatte. Im Jahr 2015 etwa musste der Konzern gleich zwei große Sicherheitspannen melden. Im Februar 2015 zum Beispiel gab Lenovo bekannt, dass verschiedene Geräte ab Werk
mit der Superfish-Adware ausgeliefert wurden. Es folgte eine Entschuldigung und ein entsprechender Fix.
Schon im November desselben Jahres kursierten abermals Berichte über ein Sicherheitsproblem in den Geräten des chinesischen Herstellers. Diesmal war es Angreifern möglich, sich über eine fehlerhafte Lenovo-Update-Software unerlaubt
Administrationsrechte zu verschaffen.