Según ha señalado Lenovo, el problema reside en la aplicación Fingerprint Manager Pro, una utilidad diseñada por Lenovo para acceder al sistema y sitios web utilizando el lector de huellas dactilares presente en un gran número de modelos. De forma más concreta, "datos sensibles almacenados como Lenovo Fingerprint Manager Pro, incluyendo las credenciales de acceso y los datos dactilares, están cifrados utilizando un algoritmo débil con una contraseña incrustada (hard-coded), y son accesibles a todos los usuarios con acceso local no administrativo al sistema en el que está instalado".
Si bien los usuarios domésticos no tienen grandes motivos para preocuparse, el potencial para causar problemas a nivel de empresa podrían ser importante. En esencia un atacante podría utilizar este fallo para sortear el proceso de autenticación del usuario y descifrar las claves de acceso a Windows, además de obtener información dactilar utilizable más adelante. Lenovo califica la gravedad del fallo como "elevada".
Lenovo señala que las versiones de Fingerprint Manager Pro para Windows 7, 8 y 8.1 están afectadas. Los ordenadores con Windows 10 usan la tecnología de autenticación dactilar de Microsoft y por tanto no se encuentran en la lista, aunque dada la lentitud con la que numerosas empresas (y no pocos usuarios particulares) actualizan sus sistemas, es posible que el volumen de equipos afectados sea importante.
Fingerprint Manager Pro se puede encontrar en los siguientes equipos:
- ThinkPad L560
- ThinkPad P40 Yoga, P50s
- ThinkPad T440, T440p, T440s, T450, T450s, T460, T540p, T550, T560
- ThinkPad W540, W541, W550s
- ThinkPad X1 Carbon (Type 20A7, 20A8), X1 Carbon (Type 20BS, 20BT)
- ThinkPad X240, X240s, X250, X260
- ThinkPad Yoga 14 (20FY), Yoga 460
- ThinkCentre M73, M73z, M78, M79, M83, M93, M93p, M93z
- ThinkStation E32, P300, P500, P700, P900
