Lenovo parchea sus Thinkpad tras descubrir un grave fallo en el software del lector dactilar

Archivado
La gama Thinkpad de Lenovo goza de un aprecio histórico en el mundo de la empresa, pero también entre ese grupo de usuarios que buscan ante todo un portátil robusto y funcional, incluso si su precio o dimensiones no son comparables con los de otras marcas. Por este motivo son la herramienta de trabajo habitual de un gran número de personas de todo el mundo, muchas de las cuales deberán actualizar ahora sus ordenadores para parchear una vulnerabilidad en el sistema de identificación dactilar.

Según ha señalado Lenovo, el problema reside en la aplicación Fingerprint Manager Pro, una utilidad diseñada por Lenovo para acceder al sistema y sitios web utilizando el lector de huellas dactilares presente en un gran número de modelos. De forma más concreta, "datos sensibles almacenados como Lenovo Fingerprint Manager Pro, incluyendo las credenciales de acceso y los datos dactilares, están cifrados utilizando un algoritmo débil con una contraseña incrustada (hard-coded), y son accesibles a todos los usuarios con acceso local no administrativo al sistema en el que está instalado".

Si bien los usuarios domésticos no tienen grandes motivos para preocuparse, el potencial para causar problemas a nivel de empresa podrían ser importante. En esencia un atacante podría utilizar este fallo para sortear el proceso de autenticación del usuario y descifrar las claves de acceso a Windows, además de obtener información dactilar utilizable más adelante. Lenovo califica la gravedad del fallo como "elevada".

Lenovo señala que las versiones de Fingerprint Manager Pro para Windows 7, 8 y 8.1 están afectadas. Los ordenadores con Windows 10 usan la tecnología de autenticación dactilar de Microsoft y por tanto no se encuentran en la lista, aunque dada la lentitud con la que numerosas empresas (y no pocos usuarios particulares) actualizan sus sistemas, es posible que el volumen de equipos afectados sea importante.

Fingerprint Manager Pro se puede encontrar en los siguientes equipos:

  • ThinkPad L560
  • ThinkPad P40 Yoga, P50s
  • ThinkPad T440, T440p, T440s, T450, T450s, T460, T540p, T550, T560
  • ThinkPad W540, W541, W550s
  • ThinkPad X1 Carbon (Type 20A7, 20A8), X1 Carbon (Type 20BS, 20BT)
  • ThinkPad X240, X240s, X250, X260
  • ThinkPad Yoga 14 (20FY), Yoga 460
  • ThinkCentre M73, M73z, M78, M79, M83, M93, M93p, M93z
  • ThinkStation E32, P300, P500, P700, P900

Fuente: Bleeping Computer
Ultimamemente hay mas parches en los PC por historias raras de seguridad que en los juegos por falta de contenido.
Igual soy un paranoico pero no tengo la huella grabada ni en el móvil ni en el portátil ni en la tablet. No me parece lo más inteligente darle mi huella dactilar a empresas y más a empresas chinas. No sé de nadie que haya muerto por poner un pin o deslizar el dedo por la pantalla para desbloquear un dispositivo.
Nunca ha sido de mi confianza el uso de la huella dactilar para bloquear/desbloquear dispositivos; ya sean portátiles, smartphones o lo que quieran que sean.
Prefiero una contraseña robusta y a poder ser ir 'actualizandola' cada cierto periodo de tiempo.
Esto es un no parar
Fallos de seguridad everywhere xD
Oh Dios mio! Ya no voy a dormir hoy pensando en que los secretos que guardo en mi portatil estan al alcance de cualquier desalmado
@Newton la contraseña en este caso también sería hackeable porque el bug está en el software que gestiona la huella o password

El Fingerprint Manager también usa contraseñas por sino lee la huella

Aparte que en Windows las contraseñas las quitas con un disco de arranque con lo cual la “seguridad” no se donde la ves jeje
pensé que ibas a decir el porn** [sati]
Darkshait escribió:Oh Dios mio! Ya no voy a dormir hoy pensando en que los secretos que guardo en mi portatil estan al alcance de cualquier desalmado
Viva los testeos que hacen las empresas viva. Esto es un no parar de "problemas" con la seguridad de los datos de las personas.
@Dreamcast2004 No son testeos, cualquier empresa tiene fallos, da igual la que sea y es logico que los haya, lo bueno de la epoca actual es que pueden ser corregidos por actualizaciones no como hace unos 10-15 años que esto era casi imposible y los fallos los habia igual solo que no habia ni la mitad de informacion que tenemos ahora.
@krl1995 Esta claro que no existe la perfección, pero es que con el tema de la seguridad llevamos un tiempecito que es de traca, entre la filtración masiva de cuentas de correos, contraseñas, el tema de intel, ahora esto de lenovo (que encima son reincidentes porque "robaban" datos de los clientes sin saberlo) y seguro que me dejo alguna mas.

Como bien dices por "suerte" ahora se pueden corregir esos fallos, pero es una cosa que me sorprende.
anabela111023 escribió:pensé que ibas a decir el porn** [sati]
Darkshait escribió:Oh Dios mio! Ya no voy a dormir hoy pensando en que los secretos que guardo en mi portatil estan al alcance de cualquier desalmado


Todavia hay gente que tiene porno en el disco duro? [sati]
@Dreamcast2004 Lo que se puede sacar en limpio de esto es que a los gobiernos asiaticos les interesan nuestro datos por lo que parece, porque OnePlus los filtra, Lenovo los filtraba y seguro que mas compañias lo hacen sin que lo sepamos
Luego que no le extrañe a nadie que el dia de mañana cuando haya robots con super IAs en la calle, por un fallo de procesado o por cualquier otra gilipollez se vuelvan contra nosotros, si, es muy peliculero, pero da miedo pensar que los lumbreras de las empresas actuales esten trabajando en cosas de este tema viendo que se tiran años sin descubrir que la habian cagado XD con esta gente (generalizando) un "Yo robot" es muy posible [qmparto]
Que siga la fiesta!
krl1995 escribió:@Dreamcast2004 Lo que se puede sacar en limpio de esto es que a los gobiernos asiaticos les interesan nuestro datos por lo que parece, porque OnePlus los filtra, Lenovo los filtraba y seguro que mas compañias lo hacen sin que lo sepamos


Si fuesen solo los países asiáticos... Xddd
@supremegaara Ya se que hay otros paises que lo hacen pero te lo ponen en los terminos y condiciones, que no se lean es otra cosa jajaja
Creo que no recordaba tantas noticias juntas sobre fallos y errores... [mad]
JohnLeeHooker escribió:Igual soy un paranoico pero no tengo la huella grabada ni en el móvil ni en el portátil ni en la tablet. No me parece lo más inteligente darle mi huella dactilar a empresas y más a empresas chinas. No sé de nadie que haya muerto por poner un pin o deslizar el dedo por la pantalla para desbloquear un dispositivo.


Si eres tan paranoico, lo que deberías hacer es no tener dispositivos con lector de huellas. Si tocas el lector, ¿Qué te hace pensar que no puedan copiarla de todos modos?

Saludos
berny6969 escribió:@Newton la contraseña en este caso también sería hackeable porque el bug está en el software que gestiona la huella o password

El Fingerprint Manager también usa contraseñas por sino lee la huella

Aparte que en Windows las contraseñas las quitas con un disco de arranque con lo cual la “seguridad” no se donde la ves jeje


@berny6969 Fingerprint Manager o similares no suelo confiar demasiado. Al igual que tampoco confio en Managers/Gestores de Contraseñas para guardar mis contraseñas.

Por no entrar en que, me parece menos peligroso que un tercero pueda tener una contraseña a un dato personal cómo puede ser una huella dactilar.

También es cierto, que tal vez, el paradigma de usuario/contraseña que conocemos actualmente puede que este obsoleto y toque re-inventarse; pero supongo que no interesa hacer el esfuerzo. Mientras, con contraseñas 'temporales' puedo seguir.
JohnLeeHooker escribió:Igual soy un paranoico pero no tengo la huella grabada ni en el móvil ni en el portátil ni en la tablet. No me parece lo más inteligente darle mi huella dactilar a empresas y más a empresas chinas. No sé de nadie que haya muerto por poner un pin o deslizar el dedo por la pantalla para desbloquear un dispositivo.


Tienes toda la razon del mundo...en que eres un paranoico, digo
La huella dactilar en dispositivos móviles está convenientemente aislada. Para hacer uso de la API de Android el hardware debe tener ciertos requisitos que dejan la huella aislada en un enclave separado del resto del SoC.
El SO no tiene acceso directo a dicho enclave. Sólo recibe respuestas de coincidencia de la huella con el dedo puesto. El mecanismo de aprendizaje también es independiente. El SO sólo recibe respuesta de huella aprendida o no.
El lector de huellas no comparte buses ni memoria con el SoC.

El programa este de Lenovo me parece un gestor de contraseñas más que otra cosa. Probablemente para ahorrarse cuatro duros por ordenador en vez de tener un enclave hardware separado lo guarden todo en un archivo cifrado.

De forma más concreta, "datos sensibles almacenados como Lenovo Fingerprint Manager Pro, incluyendo las credenciales de acceso y los datos dactilares, están cifrados utilizando un algoritmo débil con una contraseña incrustada (hard-coded), y son accesibles a todos los usuarios con acceso local no administrativo al sistema en el que está instalado".


Esto huele a que efectivamente guardan los datos de las huellas como un archivo más.
kai_dranzer20 está baneado por "Game Over"
otra empresa que se quiere subir al carro de vender nuevos productos porque los anteriores "tenían" fallos [facepalm]
JohnLeeHooker escribió:Igual soy un paranoico pero no tengo la huella grabada ni en el móvil ni en el portátil ni en la tablet. No me parece lo más inteligente darle mi huella dactilar a empresas y más a empresas chinas. No sé de nadie que haya muerto por poner un pin o deslizar el dedo por la pantalla para desbloquear un dispositivo.


Tampoco he conocido a nadie que le hayan robado por poner su huella dactilar en un móvil. Que puede pasar? No lo sé, pero no creo que sea muy común.
A veces nos ponemos de un paranoico que hace gracia.
Para los paranoicos, no creo que debáis serlo.Porque no se guarda la huella, sino una representación de ella. Es decir, el lector lee lo que pasáis por el lector y extrae características clave que almacena. Esto debe ser así para poder reconocerla rápidamente.
Y no os debéis preocupar porque el hecho de que guarde características hace que de ahí no se va a poder generar vuestra huella y reproducirse para otros sistemas. Todo esto es empírico, desconozco como va el reconocimeinto de huellas, pero conociendo el de iris, entiendo que será similar.

En nuestra empresa los de Robotics nos actualizaron el lector de huellas a uno más nuevo y tuvimos que pasar a toda la empresa de nuevo por el reconocedor pues los datos biométricos no eran compatibles.

Luego está todo el tema de que la huella no es una clave sino un identificador, por lo que no se debe utilizar como llave.
25 respuestas
Archivado
Volver a Tecnología