Lenovo dimostra ancora una volta di non potersi fidare della sicurezza del tuo PC

Il mercato di riferimento di Lenovo sono i clienti aziendali, il che rende i loro ripetuti problemi di sicurezza piuttosto sconcertanti.

In Nel 2015 hanno rilasciato PC con adware Superfish il che li ha resi vulnerabili allo sfruttamento a distanza. Nel 2016 hanno rilasciato PC con un driver vulnerabile. Anche nel 2016 il loro Lenovo Solution Center (LSC) includeva una vulnerabilità che poteva consentire a chiunque di eseguire codice arbitrario se hanno accesso alla tua rete locale,

La società ha ancora una volta deluso esponendo i proprietari di PC Lenovo al furto delle loro informazioni private.

In questa occasione è stato scoperto che il software Fingerprint Manager Pro di Lenovo viene fornito con una password hardcoded, una crittografia debole, è possibile accedervi da account senza privilegi di amministratore ed espone le credenziali di accesso e i dati delle impronte digitali di un utente.

Il software è stato installato su circa 50 modelli ThinkPad, ThinkCentre o ThinkStation, ma la buona notizia è che sono interessati solo i dispositivi Windows 7, 8 e 8.1, poiché Microsoft si è occupata direttamente della sicurezza biometrica con Windows Hello in Windows 10, rendendo il software non necessario .

Il software non può nemmeno essere sfruttato in remoto, anche se presumibilmente un exploit locale, ad esempio su un PC condiviso, rivelerebbe tutti i tuoi dati.

Lenovo ha rilasciato una patch che può essere trovato qui.

via Engadget.com