[Aggiornamento 31/01]
Lenovo ha rilasciato un comunicato ufficiale riguardante la vulnerabilità precedentemente segnalata per l’applicazione Fingerprint Manager per Windows 7 e 8.1:
Statement:
Un ricercatore ha segnalato a Lenovo l’esistenza di una vulnerabilità con il software Fingerprint Manager Pro utilizzato su alcuni PC di Lenovo. Lenovo ha collaborato con Softex, il fornitore del software in questione, e Softex ha fornito una soluzione, che è ora disponibile. È possibile consultare la lista dei PC interessati e i dettagli della patch direttamente sul sito ufficiale.
Backround:
Lenovo ha collaborato con Softex, il proprio fornitore di soluzioni software fingerprint, che ha realizzato Fingerprint Manager Pro. Il ricercatore Jackson Thuraisamy ha comunicato a Lenovo l’esistenza di problemi di sicurezza e Lenovo ha collaborato a stretto contatto con Softex per risolvere il problema. L’aggiornamento è stato rilasciato a partire da giovedì 25 gennaio. La lista dei PC interessati e i dettagli della patch sono consultabili a questo link: https://support.lenovo.com/us/en/solutions/len-15999
[Articolo originale]
Il software Fingerprint Manager presente sui dispositivi ThinkPad di Lenovo permetteva di sbloccare i notebook con l’impronta digitale già ai tempi di Windows 7 e Windows 8.1. Solo il 10 luglio 2015 Microsoft ha introdotto sul mercato di PC, notebook e tablet il sistema di riconoscimento Windows Hello e la possibilità di sfruttare l’autenticazione biometrica integrata del nuovo sistema operativo.
Prima di quella data i portatili ThinkPad erano considerati tra i più sicuri in commercio grazie all’esclusiva tecnologia di sblocco funzionante attraverso il software Fingerprint Manager. Nelle ultime ore, però, la società proprietaria di questa tecnologia ha ufficialmente annunciato di aver rilevato una vulnerabilità della sicurezza nell’utility di gestione delle impronte digitali. Le credenziali di accesso a Windows si è scoperto essere crittografate attraverso un algoritmo debole ed è facile risalire ad una password codificata.
A peggiorare la situazione è il fatto che tutti gli utenti – anche coloro che non sono amministratori del PC – possono sfruttare tale vulnerabilità per reperire le credenziali di accesso. In particolare, i seguenti modelli sono affetti dal bug del software Fingerprint Manager:
- ThinkPad L560;
- ThinkPad P40 Yoga, P50s
- ThinkPad T440, T440p, T440s, T450, T450s, T460, T540p, T550, T560;
- ThinkPad W540, W541, W550s;
- ThinkPad X1 Carbon (Tipo 20A7, 20A8), X1 Carbon (Tipo 20BS, 20BT);
- ThinkPad X240, X240s, X250, X260;
- ThinkPad Yoga 14 (20FY), Yoga 460;
- ThinkCentre M73, M73, M78, M79, M83, M93, M93p, M93z;
- ThinkStation E32, P300, P500, P700, P900;
Nonostante ciò, la buona notizia arriva dal fatto che la risoluzione del bug è stata già rilasciata attraverso la nuova versione Fingerprint Manager Pro 8.01.87 o successiva che è possibile scaricare direttamente QUI. Ci teniamo a precisare che questo bug riguarda soltanto i PC dotati di sistema operativo Windows 7 e Windows 8.1, poichè sul nuovo Windows 10 la gestione dei sensori viene affidata direttamente al sistema operativo.