指紋認證已經(jīng)是非常成熟的安全解決方案,但受軟硬件方面影響依然會存在安全隱患。近日聯(lián)想承認系統(tǒng)內(nèi)置的認證軟件Fingerprint Manager Pro (version 8.01.86)存在安全漏洞,允許攻擊者訪問任意裝備該應用的系統(tǒng)。
根據(jù)聯(lián)想披露的細節(jié),F(xiàn)ingerprint Manager包含了一個硬編碼寫死的密碼,用于訪問本地非管理員用戶。此外,該應用還會存儲諸如Windows登陸憑證以及使用“糟糕算法加密”的指紋數(shù)據(jù)。
在報告中寫道:“聯(lián)想Fingerprint Manager Pro所存儲的敏感數(shù)據(jù),包括用戶的Windows登陸憑證以及使用糟糕脆弱算法加密的指紋數(shù)據(jù),包含一個硬編碼寫死的密碼,可以訪問系統(tǒng)中所有本地非管理員賬戶。”
該漏洞由來自Security Compass的Jackson Thuraisamy發(fā)現(xiàn)。根據(jù)聯(lián)想公司網(wǎng)站公布的信息,裝備Fingerprint Manager的完整設備列表包括
ThinkPad L560
ThinkPad P40 Yoga, P50s
ThinkPad T440, T440p, T440s, T450, T450s, T460, T540p, T550, T560
ThinkPad W540, W541, W550s
ThinkPad X1 Carbon (Type 20A7, 20A8), X1 Carbon (Type 20BS, 20BT)
ThinkPad X240, X240s, X250, X260
ThinkPad Yoga 14 (20FY), Yoga 460
ThinkCentre M73, M73z, M78, M79, M83, M93, M93p, M93z
ThinkStation E32, P300, P500, P700, P900
受影響設備用戶推薦盡快安裝8.01.87之后版本。