2024-03-28 18:25 (목)
레노버 핑거프린트 매니저 프로에 지문 스캐너 우회 공격 발견…주의
상태바
레노버 핑거프린트 매니저 프로에 지문 스캐너 우회 공격 발견…주의
  • 길민권 기자
  • 승인 2018.02.04 15:12
이 기사를 공유합니다

fingerprint-2904774_640.jpg
레노버는 최근 핑거프린트 매니저 프로에서 발견된 심각한 취약점을 해결하는 보안 패치를 발표했다. 공격자가 해당 취약점을 이용하면 기기에 저장된 중요 정보를 탈취할 수 있는 취약점이다.

마이크로소프트 윈도우 7, 8, 8.1 OS용 유틸리티인 핑거프린트 매니저 프로 사용자는 지문을 이용해 레노버 컴퓨터에 로그인할 수 있다. 또한 웹 사이트 로그인 정보를 저장하고 지문을 이용해 사이트를 인증하는 데에도 사용된다.

레노버에 따르면, 핑거프린트 매니저 프로 8.01.86 및 이전 버전에서 하드코딩된 비밀번호 취약점(CVE-2017-3762)이 발견되었다. 핑거프린트 매니저 프로에 저장된 사용자의 윈도우 로그인 정보 등의 중요 정보가 약한 알고리즘으로 암호화되어 있고, 하드코딩된 비밀번호를 포함하고 있어, 핑거프린트 매니저 프로가 설치된 시스템에 로컬 비 관리자로서 액세스 권한이 있는 모든 사용자에게 접근이 허용된다.

이 취약점은 레노버 씽크패드, 씽크센터, 씽크스테이션 노트북에 영향을 미치고 윈도우 7, 8, 8.1 OS가 실행되는 8개의 씽크센터 모델, 5개의 씽크스테이션 모델, 24개 이상의 레노버 씽크패드 모델에 영향을 미친다.

다음은 취약한 레노버 제품의 목록이다.

ThinkPad L560
ThinkPad P40 Yoga, P50s
ThinkPad T440, T440p, T440s, T450, T450s, T460, T540p, T550, T560
ThinkPad W540, W541, W550s
ThinkPad X1 Carbon (Type 20A7, 20A8), X1 Carbon (Type 20BS, 20BT)
ThinkPad X240, X240s, X250, X260
ThinkPad Yoga 14 (20FY), Yoga 460
ThinkCentre M73, M73z, M78, M79, M83, M93, M93p, M93z
ThinkStation E32, P300, P500, P700, P900

레노버는 보안 연구원 잭슨 쯔라이사미가 해당 취약점을 발견했고 보고했음을 인정했다.

또한 씽크패드 고객들에게 해당 취약점으로 인한 피해를 예방하기 위해 핑거프린트 매니저 프로 8.01.87 또는 그 이후 버전을 최신 버전으로 업데이트할 것을 권고했다.

마이크로소프트가 윈도우 10 OS에 지문 인식기 기능을 지원했고, 그로 인해 사용자들은 핑거프린트 매니저 프로를 사용할 필요가 없어졌다. 현재 윈도우 10 OS가 실행되는 레노버 노트북은 해당 취약점의 영향을 받지 않는다. [정보출처. 이스트시큐리티]

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★