Lenovo prouve une fois de plus qu'on ne peut pas lui faire confiance pour assurer la sécurité de votre PC

Le marché cible de Lenovo est celui des entreprises clientes, ce qui rend leurs problèmes de sécurité répétés plutôt perplexes.

In 2015, ils ont sorti des PC avec le logiciel publicitaire Superfish ce qui les rendait vulnérables à l'exploitation à distance. En 2016 ils ont sorti des PC avec un pilote vulnérable. Toujours en 2016, leur Lenovo Solution Center (LSC) incluait une vulnérabilité qui pouvait permettre à n'importe qui d'exécuter du code arbitraire s'ils ont accès à votre réseau local,

La société a une fois de plus laissé tomber le côté en exposant les propriétaires de PC Lenovo au vol de leurs informations privées.

À cette occasion, il a été découvert que le logiciel Fingerprint Manager Pro de Lenovo est livré avec un mot de passe codé en dur, un cryptage faible, est accessible à partir de comptes sans privilèges d'administrateur et expose les identifiants de connexion et les données d'empreintes digitales d'un utilisateur.

Le logiciel a été installé sur une cinquantaine de modèles ThinkPad, ThinkCentre ou ThinkStation, mais la bonne nouvelle est que seuls les appareils Windows 50, 7 et 8 sont concernés, car Microsoft a pris en charge directement la sécurité biométrique avec Windows Hello dans Windows 8.1, rendant le logiciel inutile. .

Le logiciel ne peut pas non plus être exploité à distance, bien qu'un exploit local, par exemple sur un PC partagé, révélerait toutes vos données.

Lenovo a publié un correctif qui peuvent être trouvés ici.

Via Engadget.com