Si eres el orgulloso poseedor de un sistema ThinkPad, ThinkCentre o ThinkStation, esto es de tu incumbencia. Ahora mismo, Lenovo tiene un parche de seguridad importante que está disponible para su instalación. Y de verdad deberías instalarlo ahora mismo.
¿La razón? Se acaba de detectar una "puerta trasera" en el Fingerprint Manager Pro. Una que permite a usuarios externos acceder a tu sistema sin necesidad de contraseña o huellas que coincidan. Lo cual no es algo que se deba tomar a la ligera.
Al informar de la vulnerabilidad (denominada "CVE-2017-3762") el fabricante de ordenadores afirma haber descubierto que un algoritmo débil utilizado para codificar datos de huellas digitales podría pasarse por alto con una contraseña codificada. El problema afecta directamente a la utilidad Lenovo Fingerprint Manager Pro para Windows 7, 8 y 8.1.
La seguridad mediante huellas dactilares ya no es tan segura
La utilidad de seguridad mediante el uso de huellas digitales se utiliza para almacenar un rango de datos. Esto incluye, por supuesto, las credenciales de inicio de sesión de Windows de cualquier usuario promedio.
La vulnerabilidad de esta utilidad fue descubierta por Jackson Thuraisamy, parte de Security Compass. La misma significa que una contraseña codificada podría utilizarse no solo para evitar la autenticación de huellas dactilares. Sino también para descifrar otros datos de seguridad contenidos dentro del sistema en cuestión.
En un aviso oficial de advertencia de seguridad a sus clientes, Lenovo advierte: "Se identificó una vulnerabilidad en Lenovo Fingerprint Manager Pro". Los datos confidenciales almacenados por Lenovo Fingerprint Manager Pro, incluidas las credenciales de inicio de sesión de Windows y los datos dactiloscópicos de los usuarios, pueden ser descifrados utilizando un algoritmo débil.
Estos datos contienen una contraseña codificada y todos los usuarios con acceso local no administrativo al sistema pueden, en teoría, acceder a ellos. Por supuesto, al admitir la vulnerabilidad, Lenovo se está comprometiendo a poner todos sus esfuerzos para eliminarla.
Sistemas vulnerables a la brecha de seguridad de Fingerprint Manager Pro
Lenovo Fingerprint Manager Pro es una utilidad para Windows 7, 8 y 8.1. Esta le permite a los usuarios iniciar sesión en sus PC mediante el reconocimiento de huellas dactilares. También permite autenticarse en sitios web configurados para tal fin.
Lenovo declara que el software infectado puede instalarse en los siguientes sistemas:
- ThinkPad L560
- ThinkPad W540, W541, W550s
- ThinkPad P40 Yoga, P50s
- ThinkPad X1 Carbon (Tipo 20A7, 20A8), X1 Carbon (Tipo 20BS, 20BT)
- ThinkPad T440, T440p, T440s, T450, T450s, T460, T540p, T550, T560
- ThinkPad Yoga 14 (20FY), Yoga 460
- ThinkCentre M73, M73z, M78, M79, M83, M93, M93p, M93z
- ThinkStation E32, P300, P500, P700, P900
- ThinkPad X240, X240s, X250, X260
Para mitigar el problema, se recomienda a los usuarios actualizar a Fingerprint Manager Pro versión 8.01.87 o posterior. Si deseas hacerlo, basta con descargar la versión desde el siguiente enlace.
De momento, solo queda esperar que la solución de actualizar versión funcione correctamente. También que Lenovo siga indagando en la vulnerabilidad, exponiendo cada posible aspecto delicado y fortaleciendo la seguridad de Fingerprint Manager Pro más y más con cada actualización.