Mật khẩu mặc định cho phép tin tặc vượt qua cơ chế bảo mật vân tay của máy tính Lenovo

Chương trình quản lý vân tay (Fingerprint Manager Pro) là một tiện tích của Microsoft Windows 7, 8 và 8.1 cho phép người dùng đăng nhập vào máy tính lenovo thông qua vân tay. Ngoài ra, phần mềm có thể được cấu hình để lưu trữ dữ liệu nhạy cảm hoặc tài khoản đăng nhập trang web thông qua vân tay.

Tất cả dữ nhạy cảm được lưu trữ khi sử dụng phần mềm này đều được mã hóa tuy nhiên thuật toán mã hóa lại chưa đủ mạnh. Theo lenovo cho biết, phiên bản Fingerprint Manager Pro 8.01.86 có chứa mật khẩu mặc định cho phép phần mềm có thể truy cập tất cả tài khoản của người dùng mà không cần quyền quản trị của máy tính (mã lỗ hổng CVE-2017-3762).

Nguyên văn công ty cho biết “Dữ liệu nhạy cảm được lưu trong phần mềm Fingerprint Manager Pro bao gồm các thông tin đăng nhập Windows, dữ liệu vân tay của người dùng được mã hóa bằng một thuật toán yếu có chứa mã cứng và có thể truy cập dữ liệu của tất cả tài khoản người dùng mà không cần quyền quản trị”.

Lỗ hổng trong phần mềm Fingerprint Manager Pro

Lỗ hổng ảnh hưởng tới Lenovo ThinkPad, ThinkCentry và laptop ThinkStatins, trong đó có hơn hai chục mô hình lenovo Thinkpad, 5 mô hình ThinkStation và 8 mô hình ThinkCentry chạy Windows 7, 8 và 8.1. Dưới đây là danh sách chi tiết những dòng thiết bị bị ảnh hưởng bởi lỗ hổng:

• ThinkPad L560

• ThinkPad P40 Yoga, P50s

• ThinkPad T440, T440p, T440s, T450, T450s, T460, T540p, T550, T560

• ThinkPad W540, W541, W550s

• ThinkPad X1 Carbon (Type 20A7, 20A8), X1 Carbon (Type 20BS, 20BT)

• ThinkPad X240, X240s, X250, X260

• ThinkPad Yoga 14 (20FY), Yoga 460

• ThinkCentre M73, M73z, M78, M79, M83, M93, M93p, M93z

• ThinkStation E32, P300, P500, P700, P900

Nhà sản xuất máy tính phổ biến của Trung Quốc khuyến cáo khách hàng sử dụng ThinkPad của mình cần cập nhật phần mềm Fingerprint Manager Pro của họ lên phiên bản 8.01.87 hoặc cao hơn để khắc phục lỗ hổng. May mắn thay, Microsoft đã bổ sung tính năng đọc dấu vân tay trên hệ điều hành Windows 10, do đó loại bỏ nhu cầu sử dụng phần mềm Fingerprint Manager Pro nên người dùng Windows 10 sẽ không bị ảnh hưởng bởi lỗ hổng này.

Đây không phải là vụ đầu tiên Lenovo gặp rắc rối với các vấn đề bảo mật trên thiết bị, trong thời gian dài Lenovo liên tục xuất hiện những lỗ hổng nguy hiểm không rõ là vô tình hay cố ý đẩy người dùng vào nguy cơ mất an toàn thông tin hơn bao giờ hết. Chính vì lý do đó, người dùng máy tính Lenovo cần phải cân nhắc khi sử dụng thiết bị để lưu trữ những dữ liệu nhảy cảm, tài liệu quan trọng.

Theo TheHackerNews