یک کلمه عبور Hard-code شده به مهاجمان اجازه می‌دهد تا پویشگر اثرانگشت (Fingerprint) را در لپ‌تاپ‌های لنوو دور بزنند.

لنوو اخیراً یک وصله امنیتی را برای یک آسیب‌پذیری حیاتی در نرم‌افزار Fingerprint Manager Pro منتشر کرده است که اجازه می‌داد اطلاعات حساس و ذخیره‌شده توسط کاربران در دسترس مهاجمان قرار گیرد.

Fingerprint Manager Pro یک ابزار برای سیستم‌عامل‌های ویندوز ۷، ۸ و ۸٫۱ است که به کاربران اجازه می‌دهد با استفاده از اثرانگشت خود به کامپیوترهای شخصی خود که گزینه ورود توسط اثرانگشت در آن‌ها فعال است، وارد شوند. همچنین این نر‌م‌افزار می‌تواند به‌گونه‌ای تنظیم شود تا اطلاعات کاربری و ورود به سایت‌های مختلف را نیز در خود ذخیره کرده که کاربر بتواند با اثرانگشت خود اطلاعات ذخیره‌شده را تأیید کرده و به سایت‌های موردنظر وارد شود.

علاوه بر داده‌های مربوط به اثرانگشت، این نرم‌افزار همچنین دیگر اطلاعات حساس کاربران مانند اطلاعات ورود به ویندوز را ذخیره می‌کند و تمامی این اطلاعات را توسط یک الگوریتم ضعیف رمزنگاری، رمزگذاری می‌کند.

بر اساس گفته این شرکت، نسخه‌های ۸٫۰۱٫۸۶ و قدیمی‌تر نرم‌افزار Fingerprint Manager Pro حاوی یک آسیب‌پذیری کلمه عبور hard-code شده هستند که به‌عنوان CVE-2017-3762 نام‌گذاری شده است[۱]. این آسیب‌پذیری به کاربرانِ بدونِ دسترسیِ مدیریتی نیز اجازه می‌دهد تا به اطلاعات حساس ذخیره‌شده در آن دسترسی داشته باشند[۲].

این شرکت در گزارش منتشرشده خود در مورد این آسیب‌پذیری توضیح داده است[۳]: “داده‌های حساس ذخیره‌شده توسط Fingerprint Manager Pro، ازجمله اطلاعات ورود به ویندوزِ کاربران و داده‌های اثرانگشت، با استفاده از یک الگوریتم ضعیف، حاوی یک رمز عبور hard-code شده رمزنگاری می‌شوند و برای همه کاربران با دسترسی غیر مدیریتی به سیستم قابل‌دسترسی هستند.”

این آسیب‌پذیری، لپ‌تاپ‌های Lenovo ThinkPad، ThinkCentre و ThinkStation را تحت تأثیر قرار داده است که شامل دوازده مدل از لپ‌تاپ‌‎‌های Lenovo ThinkPad، پنج مدل از لپ‌تاپ‌های ThinkStation و هشت مدل از لپ‌تاپ‌های ThinkCentre که دارای سیستم‌عامل‌های ویندوز ۷، ۸ و ۸٫۱ هستند، می‌شود.

در اینجا لیست لپ‌تاپ‌های لنوو که دارای سازگاری با Fingerprint Manager Pro هستند و توسط این آسیب‌پذیری تحت تأثیر قرار گرفته‌اند آورده شده است:

• ThinkPad L560
• ThinkPad P40 Yoga, P50s
• ThinkPad T440, T440p, T440s, T450, T450s, T460, T540p, T550, T560
• ThinkPad W540, W541, W550s
• ThinkPad X1 Carbon (Type 20A7, 20A8), X1 Carbon (Type 20BS, 20BT)
• ThinkPad X240, X240s, X250, X260
• ThinkPad Yoga 14 (20FY), Yoga 460
• ThinkCentre M73, M73z, M78, M79, M83, M93, M93p, M93z
• ThinkStation E32, P300, P500, P700, P900

Lenovo از محقق امنیتی Jackson Thuraisamy در شرکت Compass Security به خاطر کشف و گزارش این آسیب‌پذیری تشکر کرده است.

این تولیدکننده محبوب کامپیوتر قویاً به مشتریان دارای لپ‌تاپ‌های ThinkPad توصیه کرده است که نرم‌افزار Fingerprint Manager Pro را به نسخه ۸٫۰۱٫۸۷ یا جدیدتر به‌روزرسانی کنند. شما همچنین می‌توانید برای انجام این به‌روزرسانی به وب‌سایت رسمی این شرکت مراجعه کنید[۴].

ازآنجایی‌که مایکروسافت با انتشار سیستم‌عامل ویندوز ۱۰، قابلیت پشتیبانی از اثرانگشت را به سیستم‌عامل خود اضافه کرده است، بنابراین نیاز به نرم‌افزار Fingerprint Manager Pro در این سیستم‌عامل از بین رفته است و لپ‌تاپ‌های لنووی دارای سیستم‌عامل ویندوز ۱۰ به این نقص، آسیب‌پذیر نیستند.

منابع

[۱] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3762

[۲] https://youtu.be/JRA34PzvANg

[۳] https://support.lenovo.com/in/en/product_security/len-15999

[۴] https://pcsupport.lenovo.com/in/en/downloads/ds034486

[۵] https://thehackernews.com/2018/01/lenovo-fingerprint.html