zurück zum Artikel

Mehrere Lücken in Lenovos biometrischem Passwort-Manager

Finger statt PIN

(Bild: dpa, Oliver Berg)

Der Fingerprint Manager Pro soll auf Thinkpad-Notebooks Zugangsdaten nur mit dem richtigen Fingerabdruck freigeben. Wegen mehrerer Schwachstellen waren diese Daten aber schlecht geschützt.

Die Zugangs-Software Fingerprint Manager Pro für Notebooks und Business-PCs von Lenovo enthält gleich mehrere Schwachstellen. Der PC-Hersteller empfiehlt Anwendern, umgehend auf Version 8.01.87 [1] oder neuer zu aktualisieren. Frühere Versionen der Software speichern Zugangsdaten für Webseiten, das Windows-Benutzerpasswort sowie Fingerabdrücke nur schlecht geschützt mit einem schwachen Verschlüsselungsalgorithmus. Zudem enthält der Fingerprint Manager Pro ein hartkodiertes Passwort, obendrein waren die Daten für alle Benutzer des Rechners auch ohne Administratorrechte zugänglich.

Betroffen sind mehrere Thinkpad-Notebooks, Business-PCs der Serie ThinkCentre sowie ThinkStation-Workstations, auf denen Windows 7, 8 und Windows 8.1 läuft. Auf Geräte mit Windows 10 trifft die Sicherheitslücke nicht zu, weil diese die in Windows 10 integrierte biometrische Authentifizierung Windows Hello [2] verwendet, die mit Fingerabdrucksensoren und 3D-Kameras umgehen kann.

Liste betroffener Geräte:

tipps+tricks zum Thema:


URL dieses Artikels:
http://www.heise.de/-3952558

Links in diesem Artikel:
[1] https://support.lenovo.com/de/de/product_security/len-15999
[2] https://www.heise.de/ct/ausgabe/2016-23-Kameras-und-Fingerabdruckleser-fuer-Windows-Hello-3356917.html
[3] https://www.heise.de/tipps-tricks/Passwortmanager-So-verwaltest-du-deine-Passwoerter-3934582.html