Categories: Workspace

Lenovos Fingerabdruck-Sensor leidet unter schwerem Sicherheitsleck

PC-Hersteller Lenovo meldet ein schweres Sicherheitsleck im Verbreiteten Fingerabdruck-Scanner Fingerprint Manger Pro. Damit können sich Anwender am System oder bei Web-Seiten anmelden, die für die Erkennung von Fingerabdrücken konfiguriert sind.

„Sensible Daten werden von Lenovo Fingerprint Manager Pro gespeichert, darunter die Logon-Informationen für Windows und Daten über den Fingerabdruck, diese sind mit einem schwachen Algorithmus verschlüsselt“, berichtet Lenovo in einem Advisory. Zudem setzte die der Fingerprint Manager ein hartcodiertes Passwort. Daher könnten alle Nutzer diese auch ohne administrative Zugriffsrechte die sensiblen Anmelde-Informationen einsehen.

Der Fingerprint Manager Pro im Thinkpad X250 speichert unter Windows 7, 8 und 8.1 Passwörter und Anmeldeinformationen mit einem schwachen Algorithmus. Nutzer mit Zugriff zum System können daher auf diese Informationen zugreifen (Bild: Lenovo)

Betroffen seien laut Lenovo lediglich Rechner mit Windows 7, 8 und 8.1. In Windows 10 wird diese Utility nicht benötigt, da es über die Betriebssystem-Funktion Windows Hello abgedeckt wird. Lenovo rät Nutzern von älteren Betriebssystemen schnell die Version 8.01.87des Fingerprint Managers Pro zu installieren. Wahlweise können diese auch auf Windows 10 aktualisieren.

Geräte wie der ThinkPad L560, ThinkPad P40 Yoga, P50s, ThinkPad T440, T440p, T440s, T450, T450s, T460, T540p, T550, T560 und die Workstations W540, W541 und W550s können von dem Problem betroffen sein, meldet der Hersteller. Des weiteren listet Lenovo ThinkPad X1 Carbon (20A7, 20A8, 20BS, 20BT) die ThinkPad-Modelle X240, X240s, X250, X260, das Yoga 14 (20FY), Yoga 460, ThinkCentre M73, M73z, M78, M79, M83, M93, M93p, M93z und ThinkStation E32, P300, P500, P700, P900 als betroffene Geräte auf. Entdeckt wurde das Leck von Jackson Thuraisamy von Security Compass.

Zeitgleich hat der Hersteller ein weiteres Lenovo-spezifisches Sicherheitsleck im Integrated Management Module 2 (IMM2) in verschiedenen Lenovo-Servern geschlossen, über das Angreifer eine Denial-of-Service-Attacke starten können.

Ende Dezember hatte Lenovo auch mit einem Treiber-Problem mit dem Linux-Betriebssystem Ubuntu zu kämpfen. Allerdings scheint das Problem eher auf Seiten von Ubuntu gelegen zu haben, denn auch Acer- und Toshiba-Modelle waren von dem Problem betroffen. Durch Ubuntu Version 17.10 wurde das BIOS der Geräte schwer beschädigt.

Martin Schindler

Recent Posts

WLAN in Unternehmen: Wie steht es mit der Sicherheit?

Die Installation und der Betrieb eines WLANs in Unternehmen erfordern die Berücksichtigung zahlreicher Faktoren. Mit…

1 Tag ago

Krypto-Manager zu Haftstrafe verurteilt

Der Gründer von zwei inzwischen aufgelösten Kryptowährungs-Hedgefonds wurde wegen Veruntreuung und unerlaubter Investitionen mit Kundengeldern…

1 Tag ago

Microsoft warnt vor manipulierten Office-Dokumenten

Microsoft hat detailliert beschrieben, wie Hacker vor kurzem eine gefährliche Sicherheitslücke in der MSHTML- oder…

1 Tag ago

Datenaufbereitung als Achillesferse

Die Datenaufbereitung stellt Firmen vor neue Herausforderungen. Tandem-Teams aus Business-Stakeholdern und IT-Experten sowie regelmäßige Reviews…

1 Tag ago

Apple: iPhone 13 und mehr

Apple hat sein "California Streaming"-Event abgeschlossen, auf dem das Unternehmen mehrere neue Hardware-Produkte vorgestellt hat,…

2 Tagen ago

Fitness mit Tücken

Über 61 Millionen Wearable- und Fitness-Tracking-Datensätze sind über eine ungesicherte Datenbank des Unternehmens GetHealth offengelegt…

3 Tagen ago