Lenovos Fingerabdruck-Sensor leidet unter schwerem Sicherheitsleck

Der Fingerprint Manager Pro von Lenovo verrät Nutzern ohne besondere Rechte sämtliche gespeicherten Anmeldeinformationen. Zahlreiche Modelle sind betroffen, jedoch nicht Rechner mit Windows 10.

PC-Hersteller Lenovo meldet ein schweres Sicherheitsleck im Verbreiteten Fingerabdruck-Scanner Fingerprint Manger Pro. Damit können sich Anwender am System oder bei Web-Seiten anmelden, die für die Erkennung von Fingerabdrücken konfiguriert sind.

„Sensible Daten werden von Lenovo Fingerprint Manager Pro gespeichert, darunter die Logon-Informationen für Windows und Daten über den Fingerabdruck, diese sind mit einem schwachen Algorithmus verschlüsselt“, berichtet Lenovo in einem Advisory. Zudem setzte die der Fingerprint Manager ein hartcodiertes Passwort. Daher könnten alle Nutzer diese auch ohne administrative Zugriffsrechte die sensiblen Anmelde-Informationen einsehen.

Der Fingerprint Manager Pro im Thinkpad X250 speichert unter Windows 7, 8 und 8.1 Passwörter und Anmeldeinformationen mit einem schwachen Algorithmus. Nutzer mit Zugriff zum System können daher auf diese Informationen zugreifen (Bild: Lenovo)Der Fingerprint Manager Pro im Thinkpad X250 speichert unter Windows 7, 8 und 8.1 Passwörter und Anmeldeinformationen mit einem schwachen Algorithmus. Nutzer mit Zugriff zum System können daher auf diese Informationen zugreifen (Bild: Lenovo)

Betroffen seien laut Lenovo lediglich Rechner mit Windows 7, 8 und 8.1. In Windows 10 wird diese Utility nicht benötigt, da es über die Betriebssystem-Funktion Windows Hello abgedeckt wird. Lenovo rät Nutzern von älteren Betriebssystemen schnell die Version 8.01.87des Fingerprint Managers Pro zu installieren. Wahlweise können diese auch auf Windows 10 aktualisieren.

Geräte wie der ThinkPad L560, ThinkPad P40 Yoga, P50s, ThinkPad T440, T440p, T440s, T450, T450s, T460, T540p, T550, T560 und die Workstations W540, W541 und W550s können von dem Problem betroffen sein, meldet der Hersteller. Des weiteren listet Lenovo ThinkPad X1 Carbon (20A7, 20A8, 20BS, 20BT) die ThinkPad-Modelle X240, X240s, X250, X260, das Yoga 14 (20FY), Yoga 460, ThinkCentre M73, M73z, M78, M79, M83, M93, M93p, M93z und ThinkStation E32, P300, P500, P700, P900 als betroffene Geräte auf. Entdeckt wurde das Leck von Jackson Thuraisamy von Security Compass.

Zeitgleich hat der Hersteller ein weiteres Lenovo-spezifisches Sicherheitsleck im Integrated Management Module 2 (IMM2) in verschiedenen Lenovo-Servern geschlossen, über das Angreifer eine Denial-of-Service-Attacke starten können.

Ende Dezember hatte Lenovo auch mit einem Treiber-Problem mit dem Linux-Betriebssystem Ubuntu zu kämpfen. Allerdings scheint das Problem eher auf Seiten von Ubuntu gelegen zu haben, denn auch Acer- und Toshiba-Modelle waren von dem Problem betroffen. Durch Ubuntu Version 17.10 wurde das BIOS der Geräte schwer beschädigt.

Themenseiten: Biometrie, Lenovo, Microsoft, Notebook, Window 10

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Lenovos Fingerabdruck-Sensor leidet unter schwerem Sicherheitsleck

Kommentar hinzufügen
  • Am 30. Januar 2018 um 11:48 von Andreas

    Das passiert eben, wenn Programmierer, die üblicherweise nicht mit dem Thema Sicherheit belastet sind, ohne Kontrolle Sicherheits-SW entwickeln. Enwicklung bedeutet eben nicht: Schnell mal ein Programm für eine Aufgabe zu schreiben!
    Die Behauptung, daß Hello unter W10 das Problem löst, heißt den Teufel mit dem Beelzebub auszutreiben; Erklärung wohl nicht nötig.
    Der allergrößte, grundsätliche Irrtum ist allerdings, daß biometrische Sensoren irgendeine Möglichkeit der sichen Authentifizierung bieten; das ist schon vom Ansatz her ausgeschlossen und damit erübrigt sich eigentlich schon der Aufwand, irgendetwas zwecks Nutzung überhaupt zu programmieren. Die Sicherheitsstufe ist m.E. ungefähr mit dem PW des Win-Logons vergleichbar; also nicht wirklich existent. Die Sensorik erfüllt lediglich den Tatbestand der Gewissensberuhigung derjeniger, die zu faul sind etwas einzutippen und ein Token zwecks 2FA zu nutzen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *