Atacantes podrían vulnerar el escáner de huellas de Lenovo
Lenovo ha liberado recientemente parches de seguridad para vulnerabilidades severas en su software Fingerprint Manager Pro, el cual podría exponer datos sensibles almacenados por los usuarios.
Fingerprint Manager Pro es una utilidad para Windows 7.8 y 8.1 la cual permite a los usuarios ingresar a sus equipos Lenovo con el soporte de lectura de huella activada con solo sus dedos. Este software puede incluso ser configurado para almacenar credenciales de sitios web y autenticarse a través de la huella digital.
Además de información sobre la huella digital, el software almacena también información sensible del usuario como sus contraseñas de acceso a Windows, las cuales están cifradas con un algoritmo criptográfico débil.
De acuerdo con la compañía, Fingerprint Manager Pro versión 8.01.86 y anteriores contienen una vulnerabilidad de contraseña inscrustada en el código, identificada como CVE-2017-3762, lo cual hacía el software accesible a todos los usuarios con acceso local sin privilegios.
“Información sensible almacenada a través de Fingerprint Manager Pro de Lenovo, incluyendo credenciales de acceso de Windows y datos de la huella digital, está cifrada usando un algoritmo débil, contiene una contraseña embebida en el código y es accesible a todos los usuarios con acceso local sin privilegios administrativos en el sistema en el que fue instalada.” Dijo la compañía en su aviso, hablando brevemente de la vulnerabilidad.
La vulnerabilidad impacta a las laptops Lenovo Thinkpad, ThinkCentre y ThinkStation y afecta a más de una docena de modelos de ThinkPad, cinco modelos de ThinkStation y ocho modelos de ThinkCentre que corren sistemas operativos Windows 7.8 y 8.1.
A continuación, se muestra la lista de dispositivos compatibles con Fingerprint Manager Pro, los cuales han sido afectados por la vulnerabilidad.
- ThinkPad L560
- ThinkPad P40 Yoga, P50s
- ThinkPad T440, T440p, T440s, T450, T450s, T460, T540p, T550, T560
- ThinkPad W540, W541, W550s
- ThinkPad X1 Carbon (Type 20A7, 20A8), X1 Carbon (Type 20BS, 20BT)
- ThinkPad X240, X240s, X250, X260
- ThinkPad Yoga 14 (20FY), Yoga 460
- ThinkCentre M73, M73z, M78, M79, M83, M93, M93p, M93z
- ThinkStation E32, P300, P500, P700, P900
Lenovo acreditó al investigador de seguridad Jackson Thuraisamy con la brújula de seguridad por descubrir y reportar la vulnerabilidad.
El popular fabricante de computadoras recomienda a los usuarios de ThinkPad actualizar sus dispositivos a la versión Fingerprint Manager Pro versión 8.01.87 o una versión posterior. Esto se puede consultar en el sitio oficial de la compañía.
Ya que Microsoft agregó lectura de huella digital de manera nativa en su sistema operativo Windows 10, eliminando así la necesidad de el software Fingerprint Manager Pro, los equipos Lenovo con este sistema operativo no son vulnerables.