พบช่องโหว่บนโน๊ตบุ๊ค Lenovo เกือบ 40 รุ่นเสี่ยงถูกบายพาสระบบสแกนลายนิ้วมือ

Jackson Thuraisamy นักวิจัยด้านความมั่นคงปลอดภัยจาก Security Compass ออกมาแจ้งเตือนถึงช่องโหว่บนซอฟต์แวร์ Fingerprint Manager Pro ของโน๊ตบุ๊ค Lenovo เกือบ 40 รุ่น ซึ่งช่วยให้แฮ็กเกอร์สามารถขโมยข้อมูลล็อกอินและบายพาสระบบสแกนลายนิ้วมือได้

ช่องโหว่นี้ค้นพบบนซอฟต์แวร์​ Fingerprint Manager Pro ที่รันอยู่บน Windows 7, 8 และ 8.1 ซึ่งเป็นซอฟต์แวร์ที่ช่วยให้ผู้ใช้สามารถล็อกอินเข้าคอมพิวเตอร์ผ่านทางการสแกนลายนิ้วมือตนเองได้ นอกจากนี้ซอฟต์แวร์ดังกล่าวยังใช้เก็บข้อมูลล็อกอิน Windows, เว็บไซต์ และอื่นๆ อีกด้วย

จากการตรวจสอบพบว่า ข้อมูลล็อกอินที่เก็บอยู่ใน Fingerprint Manager Pro เวอร์ชัน 8.01.86 และเวอร์ชันก่อนหน้ามีการเข้ารหัสข้อมูลที่ไม่แข็งแกร่งเพียงพอ และมีช่องโหว่ Hard-coded Password (รหัส CVE-2017-3762) ซึ่งช่วยให้ใครก็ตามสามารถเข้าถึงข้อมูลภายในได้โดยไม่จำเป็นต้องมีสิทธิ์เป็น Admin

ช่องโหว่นี้ส่งผลกระทบบนโน๊ตบุ๊คของ Lenovo ไม่ว่าจะเป็น ThinkPad, ThinkCentre และ ThinkStation รวมแล้วเกือบ 40 รุ่น ดังนี้

• ThinkPad L560
• ThinkPad P40 Yoga, P50s
• ThinkPad T440, T440p, T440s, T450, T450s, T460, T540p, T550, T560
• ThinkPad W540, W541, W550s
• ThinkPad X1 Carbon (Type 20A7, 20A8), X1 Carbon (Type 20BS, 20BT)
• ThinkPad X240, X240s, X250, X260
• ThinkPad Yoga 14 (20FY), Yoga 460
• ThinkCentre M73, M73z, M78, M79, M83, M93, M93p, M93z
• ThinkStation E32, P300, P500, P700, P900

Thuraisamy ได้รายงานช่องโหว่ที่ค้นพบไปยัง Lenovo ซึ่งก็ได้ออกแพตช์เวอร์ชัน 8.01.87 สำหรับแก้ไขปัญหาเป็นที่เรียบร้อย แนะนำให้ผู้ใช้อัปเดตแพตช์โดยเร็ว

รายละเอียดเชิงเทคนิค: https://support.lenovo.com/in/en/product_security/len-15999

ที่มา: https://thehackernews.com/2018/01/lenovo-fingerprint.html