Lenovo: Fingerprint Manager Pro ist gleich mehrfach unsicher
Um den von Lenovo bekannten Fingerabdrucksensor in Notebooks der ThinkPad-Serie unter Windows 7, 8 und 8.1 verwenden zu können, bedarf es der Software Fingerprint Manager Pro. Die bot in der Vergangenheit allerdings gravierende Sicherheitslücken, wie der Hersteller jetzt bestätigen musste.
Schwache Verschlüsselung und hinterlegtes Passwort
Gemeldet hatte die Lücken der kanadische Sicherheitsforscher Jackson Thuraisamy von Security Compass. Das Unternehmen hat seinen Befund jetzt bestätigt und gleichzeitig eine neue Version der Software veröffentlicht, die sicher sein soll. Was Thuraisamy an der App zu bemängeln hatte, mutet in Anbetracht ihrer Funktion allerdings erschreckend an.
Zum einen waren sowohl der von der App gespeicherte Fingerabdruck als auch die optional zu hinterlegenden Login-Daten für Windows oder Webseiten nur unzureichend verschlüsselt und hätten einer gezielten Attacke nicht lange Stand gehalten. Zum anderen gab es ein hart im Quellcode hinterlegtes Passwort, zu dessen spezifischer Funktion sich Lenovo zwar nicht im Detail äußert, aber hard-coded passwords sind in jedem Fall einem hohen Risiko ausgesetzt ausgespäht zu werden. Als dritte sicherheitsrelevante Schwäche wurde die Tatsache, dass die Software von jedem Account auf dem System aus ohne besondere Rechte erreichbar war, ausgemacht.
Betroffen sind alle Versionen der Software vor Version 8.01.87, die sicher sein soll. Zum Einsatz kommen könnte sie auf folgenden Geräten, erklärt Lenovo:
- ThinkPad L560
- ThinkPad P40 Yoga, P50s
- ThinkPad T440, T440p, T440s, T450, T450s, T460, T540p, T550, T560
- ThinkPad W540, W541, W550s
- ThinkPad X1 Carbon (Type 20A7, 20A8), X1 Carbon (Type 20BS, 20BT)
- ThinkPad X240, X240s, X250, X260
- ThinkPad Yoga 14 (20FY), Yoga 460
- ThinkCentre M73, M73z, M78, M79, M83, M93, M93p, M93z
- ThinkStation E32, P300, P500, P700, P900
Windows 10 kommt ohne Lenovos Software aus
Unter Windows 10 benötigten Anwender den Fingerprint Manager Pro nicht. Das aktuelle Betriebssystem bringt die notwendigen Biometriefunktionen als API bereits mit. Microsoft verspricht, dass Fingerabdrücke nur mit einer Checksumme und nicht als solche sicher gespeichert werden.