L’empresa va identificar i solucionar una vulnerabilitat d’alta gravetat a Lenovo Fingerprint Manager Pro que permetia a qualsevol persona amb accés físic al portàtil obtenir credencials d’inici de sessió i altres dades sensibles d’un usuari.
Fingerprint manager pro és un programari preinstal·lat al sistema operatiu Windows que utilitza equips ThinkPad, ThinkStation, ThinkCentre. Ajuda a autenticar els usuaris i iniciar sessió al seu PC mitjançant empremtes digitals en lloc d’escriure manualment les contrasenyes.
L’aparició de la vulnerabilitat es deu a un error en l’algorisme de xifratge de les credencials d’inici de sessió de Windows que utilitza una contrasenya codificada. Com a resultat, qualsevol persona amb accés local no administratiu al sistema pot accedir-hi.
La llista de productes afectats que executen Windows 7, 8 i 8.1 inclouen:
- Thinkpad L560
- ThinkPad P40 Ioga, P50s
- ThinkPad T440, T440p, T440s, T450, T450s, T460, T540p, T550, T560
- ThinkPad W540, W541, W550
- ThinkPad X1 Carbon (Tipus 20A7, 20A8), X1 Carbon (Tipus 20BS, 20BT)
- ThinkPad X240, X240s, X250, X260
- Ioga ThinkPad 14 (20FY), Ioga 460
- ThinkCentre M73, M73z, M78, M79, M83, M93, M93p, M93z
- ThinkStation E32, P300, P500, P700, P900
No obstant això, Lenovo va corregir la vulnerabilitat i va llançar un pegat el 25 de gener. La companyia també assegura que els models de Windows 10 no es veuran afectats ja que aquests sistemes utilitzen el suport integrat de lectors d’empremtes digitals de Microsoft.
