> > > > ThinkPad-Reihe betroffen: Lenovos Fingerabdruckscanner gibt zu viele Daten preis

ThinkPad-Reihe betroffen: Lenovos Fingerabdruckscanner gibt zu viele Daten preis

Veröffentlicht am: von

lenovoPer Support-Dokument weist Lenovo daraufhin, dass der in den ThinkPads verbaute Fingerabdruckscanner, bzw. die hier verwendete Software unsicher ist. Die unter dem Code CVE-2017-3762 geführte Sicherheitslücke wird als kritisch angesehen, da die im Lenovo Fingerprint Manager Pro abgelegten Daten nicht ausreichend geschützt sind.

Bei den im Lenovo Fingerprint Manager Pro abgelegten Daten handelt es sich um Benutzername und Passwort für Windows (dies können auch die Zugangsdaten für das Microsoft-Konto sein) sowie die eigentlichen Daten des Fingerabdrucks. Offenbar verwendete Lenovo hier eine zu schwache Verschlüsselung und zudem auch noch ein immer gleiches Passwort, welches hardcodiert in der Software selbst auszulesen war. Die Daten sind zudem für alle Nutzer einzusehen – auch ohne Administrator-Rechte.

Lenovo beschreibt die Sicherheitslücke wie folgt:

A vulnerability has been identified in Lenovo Fingerprint Manager Pro. Sensitive data stored by Lenovo Fingerprint Manager Pro, including users’ Windows logon credentials and fingerprint data, is encrypted using a weak algorithm, contains a hard-coded password, and is accessible to all users with local non-administrative access to the system it is installed in."

Um die Lücke zu schließen hat Lenovo den Fingerprint Manager Pro in der Version 8.01.87 veröffentlicht. Betroffen sind die folgenden ThinkPads mit Fingerabdruckscanner:

  • ThinkPad L560
  • ThinkPad P40 Yoga, P50s
  • ThinkPad T440, T440p, T440s, T450, T450s, T460, T540p, T550, T560
  • ThinkPad W540, W541, W550s
  • ThinkPad X1 Carbon (Type 20A7, 20A8), X1 Carbon (Type 20BS, 20BT)
  • ThinkPad X240, X240s, X250, X260
  • ThinkPad Yoga 14 (20FY), Yoga 460
  • ThinkCentre M73, M73z, M78, M79, M83, M93, M93p, M93z
  • ThinkStation E32, P300, P500, P700, P900

Betroffen sind Windows 7, Windows 8 und Windows 8.1. Windows 10 verwendet seine eigene API und ist nicht auf den Fingerprint Manager Pro angewiesen.

Sicherheitslücke in zweierlei Hinsicht problematisch

Finderabdrucksensoren in Notebooks, vor allem aber nahezu jedem aktuellen High-End-Smartphone, sollen den Login-Prozess vereinfachen, ohne die Sicherheit durch zu einfache Passwörter zu gefährden. Dies kann aber nur funktionieren, wenn der Fingerabdrucksensor zuverlässig arbeitet und sich nicht so einfach täuschen lässt sowie die dazu gespeicherten Daten irgendwo sicher abgelegt sind. Apple verwendet dazu bei seinen iPhones die Secure Enclave des eigenen SoCs. Bei Samsung und den Exynos-SoCs gibt es eine ähnliche Technik und alle mobilen Prozessoren mit ARM-Design können die Trusted Zone benutzen. Alle diese Techniken sollen verhindern, dass ein Zugriff auf die Daten des Fingerabdrucksensors möglich ist.

Eine Lücke wie die nun bei Lenovo bekannt gewordene führt erstens dazu, dass Login-Daten der Nutzer öffentlich werden. Außerdem konnten wohl die Daten des Fingerabdrucks ausgelesen werden. Unklar ist, in welcher Form Lenovo diesen Daten speichert. Üblicherweise werden die Minuzien, also die Endungen und Verzweigungen der Papillarleisten erkannt und durch einen speziellen Algorithmus in eine mathematische Form gebracht. Aus dieser ist es nicht möglich den umgekehrten Weg hin zum eigentlichen Fingerabdruck zu gehen. Sind durch die Sicherheitslücke bei Lenovo also eben diese Daten angreifbar, muss dies nicht bedeuten, dass auch der Fingerabdruck des Nutzers bekannt ist.

Man sollte aber immer im Hinterkopf behalten, dass biometrische Sicherheitsfunktionen nicht unproblematisch sind. Ein Nutzer kann sein Passwort ändern, den Fingerabdruck aber nicht. Einmal gefährdet bleibt nur noch die Wahl auf Fingerabdrucksensoren zu verzichten, was dann wieder dazu führen kann, dass zu einfache Passwörter verwendet werden. Dies gilt für alle biometrischen Systeme und daher sollte bei diesen auch besondere Vorsicht bei den Herstellern gelten.

Social Links

Ihre Bewertung

Ø Bewertungen: 0

Tags

Kommentare (10)

#1
customavatars/avatar202850_1.gif
Registriert seit: 06.02.2014
Im sonnigen Süden
Admiral
Beiträge: 12086
Die Sicherheit von biometrischen Passwörtern/Login Systemen kann nicht auf Nicht-Auslesbarkeit der Daten beruhen. Besonders Fingerabdrücke hinterlassen wir schließlich täglich tausendfach und die meisten anderen Dinge wie Gesicht, Iris, Venenscan (sehr vielversprechend) usw. könnte man auch nebenbei kopieren.

Die Sicherheit muss aus Fälschungssicherheit resultieren. Also die scanner müssen replizierte Fingerabdrücke verweigern können. Durch Pulsschlag, Wärme, Haut-Leitfähigkeit usw.
#2
customavatars/avatar37147_1.gif
Registriert seit: 20.03.2006
München
Bootsmann
Beiträge: 638
Witzig, über das Problem, dass man einen kompromittierten Fingerabdruck ja maximal 9 Mal wechseln kann, hab ich noch nie nachgedacht. Aber macht natürlich Sinn.

Zehen ständen noch zur Verfügung... :D Dürfte aber kaum praktikabel sein. ;D
#3
Registriert seit: 17.01.2017
Berlin
Bootsmann
Beiträge: 652
Zitat Armadillo;26124337

Zehen ständen noch zur Verfügung... :D Dürfte aber kaum praktikabel sein. ;D


Der Traum für jeden Fußfetischisten :D


Man könnte ja z.B immer noch einen erfolgreichen Fingerabdruck mit ner kleinen PIN oder z.B nen Gittercode belegen, sodass es weniger bringt, die Abdrücke zu kopieren.
#4
customavatars/avatar14209_1.gif
Registriert seit: 10.10.2004

Kapitänleutnant
Beiträge: 1646
Ich weiß schon warum ich niemals einem Unternehmen freiwillig meine Biometrischen Daten anvertrauen würde .. Passwörter/Kennwörter und Konten kann man jederzeit wechseln, biometrische Daten identifizieren dich ein Leben lang.

Da nehme ich mir lieber jedes mal die paar Sekunden für die Pin Eingabe.
#5
Registriert seit: 05.12.2010

Kapitän zur See
Beiträge: 3897
Zitat Sonnenbluemchen;26125290
Der Traum für jeden Fußfetischisten :D

#6
customavatars/avatar132713_1.gif
Registriert seit: 06.04.2010
Nähe Leipzig
Bootsmann
Beiträge: 742
Zitat Ajan;26126830
Ich weiß schon warum ich niemals einem Unternehmen freiwillig meine Biometrischen Daten anvertrauen würde .. Passwörter/Kennwörter und Konten kann man jederzeit wechseln, biometrische Daten identifizieren dich ein Leben lang.

Da nehme ich mir lieber jedes mal die paar Sekunden für die Pin Eingabe.


so kann man das natürlich auch sehen. Leider sind die Möglichkeiten des Erlangens solcher Daten nicht zwangläufig freiwillig. Irgendwann hatte ich schonmal sowas gelesen wie dass die Smartphone-Cameras auch ganz problemlos Fingerabdrücke nehmen können, oder wer hat nicht aus Versehen mal direkt drauf gefasst, z.B. beim aus der Tasche ziehen
#7
customavatars/avatar202850_1.gif
Registriert seit: 06.02.2014
Im sonnigen Süden
Admiral
Beiträge: 12086
Zitat Neo52;26131422
so kann man das natürlich auch sehen. Leider sind die Möglichkeiten des Erlangens solcher Daten nicht zwangläufig freiwillig. Irgendwann hatte ich schonmal sowas gelesen wie dass die Smartphone-Cameras auch ganz problemlos Fingerabdrücke nehmen können, oder wer hat nicht aus Versehen mal direkt drauf gefasst, z.B. beim aus der Tasche ziehen

Grad mal mit der App hier getestet: https://play.google.com/store/apps/details?id=com.dft.iceunlock&hl=de
Geht erstaunlich gut. Liegt allerdings vorallem am Kameralicht welches die Rillen gut hervorhebt. Es muss aber ~1s fokusieren. Durch Drüberstreichen klappt das also keinesfalls. Schon der Sensor-Kegel ist zu klein.

Relevanter ist da schon eher diese US Militärkamera die das angeblich aus nem Dutzend Metern Entfernung konnen soll :D
#8
customavatars/avatar132713_1.gif
Registriert seit: 06.04.2010
Nähe Leipzig
Bootsmann
Beiträge: 742
ich will hier mal keine Paranoia schüren, aber ich denke schon dass da technisch noch mehr möglich ist als der PlayStore hergibt ;)
Ich muss zugeben ich nutze auch täglich den Fingerprint an meinem Handy und ich hatte auch schonmal nen Clevo mit Fingerprint und der war genial. Bei meinem jetzigen Lappi fehlt das leider, aber der hat andere Vorzüge.

Nichtsdestotrotz ist der Gedanke den Du oben geäußert hast durchaus einen Gedanken wert, aber wie ich schon erwähnt habe sind die technischen Möglichkeiten immens trotzdem an sowas zu gelangen und die steigen beinahe täglich.

Wenn ich schon die Gesichter sehe wenn es um Whatsapp, Facebook oder auch nur SmartHome geht. Jeder will den Nutzen und keiner sieht die Risiken. Ich kann mich noch erinnern wie ich meinen Bruder vor ner Cloud gewarnt hatte und schon 3 Jahre später hat er ne Weile gebraucht alles wieder rückgüängig zu machen. Man beschränkt sich ziemlich im Alltag wenn man auf solche Comfortfunktionen verzichtet.

Viele meiner Freunde können es nicht fassen dass ich als Technik-Nerd große Bögen um sowas mache :coolblue:
#9
customavatars/avatar202850_1.gif
Registriert seit: 06.02.2014
Im sonnigen Süden
Admiral
Beiträge: 12086
Und was genau sollen diese Risiken durch Whatsapp, FB und SmartHome, oder gar Cloud sein?
Es wird immer sowas behauptet, aber in der Realität merkt man nichts von Problemen. Interessanterweise gibt es diese Behauptungen auch schon 5 Jahre und länger. Offenbar halten sie sich aber hartnäckig...
In 10 jahren werden wir diese "Diskusionen" wahrscheinlich weiterhin führen :D


Kein Verbre cher wird einen großen Aufwand betreiben und deinen Fingerabdruck aufnehmen und nachmachen, nur um in dein Handy zu gelangen.
Richtig wertvolles wie Bankkontozugang o.ä. werden nicht per Fingerabdruck gesichert obwohl das doch technisch schon seit gut 20 Jahren möglich wäre...

Bei Smartphones und Notebooks ist aber nunmal komfortabler als Pins und der Straßendieb hat in aller Regel nicht die Möglichkeit, den Fingerabdruck zu fälschen.
#10
customavatars/avatar132713_1.gif
Registriert seit: 06.04.2010
Nähe Leipzig
Bootsmann
Beiträge: 742
ich denke wir kommen sehr sehr sehr weit vom Thema ab, aber bei dem letzten Absatz stimme ich Dir zu. Es wird einem (hoffentlich) keiner einen Finger klauen nur um ans Handy oder Notebook zu kommen
Um Kommentare schreiben zu können, musst Du eingeloggt sein!