Luca Colantuoni,

Lenovo ha rilasciato un aggiornamento per il tool che gestisce i dati delle impronte digitali su alcuni notebook delle serie ThinkPad, ThinkCentre e ThinkStation. La nuova versione del software corregge una grave vulnerabilità che poteva essere sfruttata per accedere liberamente al sistema operativo. Il bug era presente nel Lenovo Fingerprint Manager Pro compatibile con le vecchie versioni di Windows.

I notebook più recenti offrono un sistema di autenticazione più sicuro, in quanto integrato direttamente nel sistema operativo. La funzionalità Windows Hello di Windows 10 supporta sia il lettore di impronte digitali che il riconoscimento facciale. Sui vecchi modelli basati su Windows 7, 8 e 8.1 è invece installato il tool Lenovo Fingerprint Manager Pro che permette agli utenti di accedere al PC e ai siti web, utilizzando le impronte digitali. Gli esperti di Security Compass hanno scoperto una vulnerabilità nell’utility che consente di eludere la protezione del sistema biometrico.

Il bug, considerato piuttosto serio, era dovuto alla “debolezza” dell’algoritmo crittografico usato dal tool per memorizzare le credenziali di login e i dati associati alle impronte digitali. Lenovo aveva inoltre inserito nel codice una password “hard-coded”. Un eventuale malintenzionato poteva quindi accedere al sistema senza avere privilegi di amministratore. Fortunatamente la vulnerabilità non era sfruttabile via Internet.

Questi sono i prodotti per i quali è stato rilasciato l’aggiornamento (8.01.87) di Lenovo Fingerprint Manager Pro:

ThinkPad L560

ThinkPad P40 Yoga, P50s

ThinkPad T440, T440p, T440s, T450, T450s, T460, T540p, T550, T560

ThinkPad W540, W541, W550s

ThinkPad X1 Carbon (Type 20A7, 20A8), X1 Carbon (Type 20BS, 20BT)

ThinkPad X240, X240s, X250, X260

ThinkPad Yoga 14 (20FY), Yoga 460

ThinkCentre M73, M73z, M78, M79, M83, M93, M93p, M93z

ThinkStation E32, P300, P500, P700, P900

Il tool non è necessario se l’utente installa Windows 10.