联想承认Fingerprint Manager存在漏洞 推荐尽快升级

指纹认证已经是非常成熟的安全解决方案，但受软硬件方面影响依然会存在安全隐患。近日联想承认系统内置的认证软件Fingerprint Manager Pro (version 8.01.86)存在安全漏洞，允许攻击者访问任意装备该应用的系统。

根据联想披露的细节，Fingerprint Manager包含了一个硬编码写死的密码，用于访问本地非管理员用户。此外，该应用还会存储诸如windows登陆凭证以及使用“糟糕算法加密”的指纹数据。

在报告中写道：“联想Fingerprint Manager Pro所存储的敏感数据，包括用户的windows登陆凭证以及使用糟糕脆弱算法加密的指纹数据，包含一个硬编码写死的密码，可以访问系统中所有本地非管理员账户。”

该漏洞由来自Security Compass的Jackson Thuraisamy发现。根据联想公司网站公布的信息，装备Fingerprint Manager的完整设备列表包括

ThinkPad L560

ThinkPad P40 Yoga, P50s

ThinkPad T440, T440p, T440s, T450, T450s, T460, T540p, T550, T560

ThinkPad W540, W541, W550s

ThinkPad X1 Carbon (Type 20A7, 20A8), X1 Carbon (Type 20BS, 20BT)

ThinkPad X240, X240s, X250, X260

ThinkPad Yoga 14 (20FY), Yoga 460

ThinkCentre M73, M73z, M78, M79, M83, M93, M93p, M93z

ThinkStation E32, P300, P500, P700, P900

受影响设备用户推荐尽快安装8.01.87之后版本。