Kritische Lücke in Lenovo-Notebooks

Lenovo warnt vor einer kritischen Sicherheitslücke in seinem Tool Fingerprint Manager Pro. Ein entsprechendes Security-Update hat der Hersteller bereits veröffentlicht.

Betroffen sind laut Lenovo nur Nutzer, die mit Windows 7, 8 oder 8.1 arbeiten. Systeme mit Windows 10 hingegen würden für die Authentifizierung per Fingerabdruck den integrierten Scanner von Microsoft verwenden. Dieser sei nicht von der Lücke betroffen.

Über den Fingerprint Manager Pro ist es Nutzern möglich, sich ohne Passwort an ihrem Gerät anzumelden oder auch auf entsprechend konfigurierten Webseiten einzuloggen. Sensible Daten wie zum Beispiel der Windows-Login und der Fingerabdruck selbst werden über die Software gespeichert. Der Algorithmus zur Verschlüsselung dahinter sei allerdings relativ schwach, schreibt Lenovo. Dafür werde ein fest kodiertes Passwort verwendet. Jeder mit physischem Zugriff auf das Gerät könnte diese Daten auslesen. Dafür wären keine gesonderten Administratorrechte notwendig.

Konkret betroffen sind laut Hersteller folgende Geräte:

Nutzern dieser Geräte wird dringend empfohlen, den Fingerprint Manager Pro auf die bereitgestellte Version 8.01.87 oder jünger (sobald verfügbar) zu aktualisieren.

Der aktuelle Software-Fehler reiht sich hinter zahlreiche weitere Security-Probleme, mit denen Lenovo in den vergangenen Jahren immer wieder zu kämpfen hatte. Im Jahr 2015 etwa musste der Konzern gleich zwei grosse Sicherheitspannen melden. Im Februar 2015 zum Beispiel gab Lenovo bekannt, dass verschiedene Geräte ab Werk mit der Superfish-Adware ausgeliefert wurden. Es folgten eine Entschuldigung und ein entsprechender Fix.

Schon im November desselben Jahres kursierten abermals Berichte über ein Sicherheitsproblem in den Geräten des chinesischen Herstellers. Diesmal war es Angreifern möglich, sich über eine fehlerhafte Lenovo-Update-Software unerlaubt Administratorrechte zu verschaffen.