Anzeige
Lenovos Shareit-App hat es mit der Sicherheit nicht so genau genommen.
Lenovos Shareit-App hat es mit der Sicherheit nicht so genau genommen. (Bild: Screenshot:Golem.de)

12345678: Lenovos Shareit-App verwendet unsicheres Standardkennwort

Lenovos Shareit-App hat es mit der Sicherheit nicht so genau genommen.
Lenovos Shareit-App hat es mit der Sicherheit nicht so genau genommen. (Bild: Screenshot:Golem.de)

Lenovos Chef kündigte zwar im Interview vor einigen Wochen an, künftig sichere Software einsetzen zu wollen - im Fall eines Programms zur Dateiübertragung funktioniert das jedoch noch nicht besonders gut.

Die Forscher der Sicherheitsfirma Coresecurity haben Schwachstellen in Lenovos Programm zur Dateiübertragung zwischen PC und Smartphone gefunden. Die Software mit dem Namen Shareit sei in den Versionen 3.0.18_ww für Android und 2.5.11 für Windows verwundbar, heißt es in einem Blogbeitrag. Lenovo hat die Schwachstellen unterdessen gefixt.

Anzeige

Die Software existiert auch für iOS und Windows-Phone-Geräte. Ob diese Versionen ebenfalls angreifbar sind, wurde bislang nicht getestet. Die App erstellt unter Windows einen WLAN-Hotspot, mit dem sich dann auch die anderen zum Dateiaustausch verwendeten Geräte verbinden müssen. Dieser WLAN-Hotspot setzt in den angreifbaren Versionen auf das unsichere Standardpasswort 12345678. Dieses Passwort kann vom Nutzer nicht geändert werden. Die Schwachstelle hat die CVE-Nummer 2016-1491.

Man-In-The-Middle-Angriff

Ein Angreifer kann sich nach Angaben der Sicherheitsforscher außerdem mit dem Netzwerk verbinden und die freigegebenen Dateien per http-Request auslesen, soll diese aber nicht auf sein Gerät herunterladen können. Grund hierfür ist eine nicht genauer beschriebene Schwachstelle in dem von Lenovo zum Dateiaustausch gestarteten Webserver (CVE-2016-1490). Die Dateien werden zudem unverschlüsselt übertragen - ein böswilliger Angreifer im Netzwerk könnte daher als Man-In-The-Middle den Traffic mitschneiden, aber auch verändern - und so auch Schadcode in das System injizieren (CVE-2016-1489).

Wird ein Shareit-Hotspot auf Android-Geräten gestartet, verzichtet das Programm in der verwundbaren Version ganz auf lästige Sicherungsmaßnahmen und erstellt einen offenen Hotspot ohne Passwort. Lenovos Chef hatte vor einigen Wochen in einem Interview Microsoft für das kostenfreie Windows-10-Upgrade kritisiert. Als Reaktion auf den Superfish-Skandal kündigte er außerdem an, künftig verstärkt sichere Software einzusetzen, um das Vertrauen der Kunden zurückzugewinnen.


eye home zur Startseite
Moe479 28. Jan 2016

das währr für mich besser als "standardmäßig unsicher"

Kommentieren



Anzeige

  1. SAP Modulbetreuer / Anwendungsentwickler HCM (m/w)
    HiPP-Werk Georg Hipp OHG, Pfaffenhofen Raum Ingolstadt
  2. IT-Systemkauffrau / -mann oder Informatiker (m/w) zur Systemadministration
    Chirurgische Klinik München-Bogenhausen GmbH, München
  3. Software Architekt (m/w)
    Haufe Gruppe, Bielefeld
  4. Projektmanager Einkauf/IT (m/w)
    Hornbach-Baumarkt-AG, Großraum Mannheim/Karlsruhe

Detailsuche



Anzeige
Blu-ray-Angebote
  1. NEU: 6 Blu-rays für 30 EUR
    (u. a. Der Hobbit, Der Herr der Ringe, Departed, Conjuring, Gran Torino)
  2. Jackie Chan Edition (Little Big Soldier / Shaolin / Stadt der Gewalt) [Blu-ray]
    5,99€
  3. Jack Ryan Box [Blu-ray]
    13,97€

Weitere Angebote


Folgen Sie uns
       


  1. Gehalt.de

    Was Frauen in IT-Jobs verdienen

  2. Kurzstreckenflüge

    Lufthansa verspricht 15 MBit/s für jeden an Bord

  3. Anonymisierungsprojekt

    Darf ein Ex-Geheimdienstler für Tor arbeiten?

  4. Schalke 04

    Erst League of Legends und nun Fifa

  5. Patentverletzungen

    Qualcomm verklagt Meizu

  6. Deep Learning

    Algorithmus sagt menschliche Verhaltensweisen voraus

  7. Bungie

    Destiny-Karriere auf PS3 und Xbox 360 endet im August 2016

  8. Vive-Headset

    HTC muss sich auf Virtual Reality verlassen

  9. Mobilfunk

    Datenvolumen steigt während EM-Spiel um 25 Prozent

  10. Software Guard Extentions

    Linux-Code kann auf Intel-CPUs besser geschützt werden



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Autotracker Tanktaler: Wen juckt der Datenschutz, wenn's Geld gibt?
Autotracker Tanktaler
Wen juckt der Datenschutz, wenn's Geld gibt?
  1. Ubeeqo Europcar-App vereint Mietwagen, Carsharing und Taxis
  2. Rearvision Ex-Apple-Ingenieure entwickeln Dualautokamera
  3. Tod von Anton Yelchin Verwirrender Automatikhebel führte bereits zu 41 Unfällen

Mighty No. 9 im Test: Mittelmaß für 4 Millionen US-Dollar
Mighty No. 9 im Test
Mittelmaß für 4 Millionen US-Dollar
  1. Moto GP 2016 im Test Motorradrennen mit Valentino Rossi
  2. Warp Shift im Test Zauberhaftes Kistenschieben
  3. Alienation im Test Mit zwei Analogsticks gegen viele Außerirdische

Wireless-HDMI im Test: Achtung Signalstörung!
Wireless-HDMI im Test
Achtung Signalstörung!
  1. Die Woche im Video E3, Oneplus Three und Apple ohne X

  1. Re: Frauen in der EDV ...

    Lord Gamma | 22:06

  2. Re: Wieder nach Hause geschickt zu werden

    Niaxa | 22:03

  3. Re: Ich versteh immer nicht

    neocron | 21:58

  4. Re: Vorinstallierte Programme sind die Pest

    Milber | 21:58

  5. ioerror ist wirklich nervig

    b1nary | 21:51


  1. 18:37

  2. 17:43

  3. 17:29

  4. 16:56

  5. 16:40

  6. 16:18

  7. 16:00

  8. 15:47


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel