指紋認證已經是非常成熟的安全解決方案,但受軟硬件方面影響依然會存在安全隱患。近日聯想承認系統內置的認證軟件Fingerprint Manager Pro (version 8.01.86)存在安全漏洞,允許攻擊者訪問任意裝備該應用的系統。
根據聯想披露的細節,Fingerprint Manager包含了一個硬編碼寫死的密碼,用于訪問本地非管理員用戶。此外,該應用還會存儲諸如Windows登陸憑證以及使用“糟糕算法加密”的指紋數據。
在報告中寫道:“聯想Fingerprint Manager Pro所存儲的敏感數據,包括用戶的Windows登陸憑證以及使用糟糕脆弱算法加密的指紋數據,包含一個硬編碼寫死的密碼,可以訪問系統中所有本地非管理員賬戶。”
該漏洞由來自Security Compass的Jackson Thuraisamy發現。根據聯想公司網站公布的信息,裝備Fingerprint Manager的完整設備列表包括
ThinkPad L560
ThinkPad P40 Yoga, P50s
ThinkPad T440, T440p, T440s, T450, T450s, T460, T540p, T550, T560
ThinkPad W540, W541, W550s
ThinkPad X1 Carbon (Type 20A7, 20A8), X1 Carbon (Type 20BS, 20BT)
ThinkPad X240, X240s, X250, X260
ThinkPad Yoga 14 (20FY), Yoga 460
ThinkCentre M73, M73z, M78, M79, M83, M93, M93p, M93z
ThinkStation E32, P300, P500, P700, P900
受影響設備用戶推薦盡快安裝8.01.87之后版本。
京公網安備 11010502049343號