Abo
  • Services:
Anzeige
Lenovos Shareit-App hat es mit der Sicherheit nicht so genau genommen.
Lenovos Shareit-App hat es mit der Sicherheit nicht so genau genommen. (Bild: Screenshot:Golem.de)

12345678: Lenovos Shareit-App verwendet unsicheres Standardkennwort

Lenovos Shareit-App hat es mit der Sicherheit nicht so genau genommen.
Lenovos Shareit-App hat es mit der Sicherheit nicht so genau genommen. (Bild: Screenshot:Golem.de)

Lenovos Chef kündigte zwar im Interview vor einigen Wochen an, künftig sichere Software einsetzen zu wollen - im Fall eines Programms zur Dateiübertragung funktioniert das jedoch noch nicht besonders gut.

Die Forscher der Sicherheitsfirma Coresecurity haben Schwachstellen in Lenovos Programm zur Dateiübertragung zwischen PC und Smartphone gefunden. Die Software mit dem Namen Shareit sei in den Versionen 3.0.18_ww für Android und 2.5.11 für Windows verwundbar, heißt es in einem Blogbeitrag. Lenovo hat die Schwachstellen unterdessen gefixt.

Anzeige

Die Software existiert auch für iOS und Windows-Phone-Geräte. Ob diese Versionen ebenfalls angreifbar sind, wurde bislang nicht getestet. Die App erstellt unter Windows einen WLAN-Hotspot, mit dem sich dann auch die anderen zum Dateiaustausch verwendeten Geräte verbinden müssen. Dieser WLAN-Hotspot setzt in den angreifbaren Versionen auf das unsichere Standardpasswort 12345678. Dieses Passwort kann vom Nutzer nicht geändert werden. Die Schwachstelle hat die CVE-Nummer 2016-1491.

Man-In-The-Middle-Angriff

Ein Angreifer kann sich nach Angaben der Sicherheitsforscher außerdem mit dem Netzwerk verbinden und die freigegebenen Dateien per http-Request auslesen, soll diese aber nicht auf sein Gerät herunterladen können. Grund hierfür ist eine nicht genauer beschriebene Schwachstelle in dem von Lenovo zum Dateiaustausch gestarteten Webserver (CVE-2016-1490). Die Dateien werden zudem unverschlüsselt übertragen - ein böswilliger Angreifer im Netzwerk könnte daher als Man-In-The-Middle den Traffic mitschneiden, aber auch verändern - und so auch Schadcode in das System injizieren (CVE-2016-1489).

Wird ein Shareit-Hotspot auf Android-Geräten gestartet, verzichtet das Programm in der verwundbaren Version ganz auf lästige Sicherungsmaßnahmen und erstellt einen offenen Hotspot ohne Passwort. Lenovos Chef hatte vor einigen Wochen in einem Interview Microsoft für das kostenfreie Windows-10-Upgrade kritisiert. Als Reaktion auf den Superfish-Skandal kündigte er außerdem an, künftig verstärkt sichere Software einzusetzen, um das Vertrauen der Kunden zurückzugewinnen.


eye home zur Startseite
Moe479 28. Jan 2016

das währr für mich besser als "standardmäßig unsicher"



Anzeige

Stellenmarkt
  1. Swyx Solutions AG, Dortmund
  2. AVM Computersysteme Vertriebs GmbH, Berlin
  3. operational services GmbH & Co. KG, Frankfurt
  4. Universität Passau, Passau


Anzeige
Top-Angebote
  1. und bis zu 8 Tage früher erhalten
  2. 37,99€
  3. 11,01€ USK 18 (Versand über Amazon)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Action

    Bungie bestätigt PC-Version von Destiny 2

  2. Extremistische Inhalte

    Google hat weiter Probleme mit Werbeplatzierungen

  3. SpaceX

    Für eine Raketenstufe geht es zurück ins Weltall

  4. Ashes of the Singularity

    Patch sorgt auf Ryzen-Chips für 20 Prozent mehr Leistung

  5. Thimbleweed Park im Test

    Mord im Pixelparadies

  6. Bundesgerichtshof

    Eltern müssen bei illegalem Filesharing ihre Kinder verraten

  7. Gesetz beschlossen

    Computer dürfen das Lenkrad übernehmen

  8. Neue Bildersuche

    Fotografenvereinigung Freelens klagt gegen Google

  9. FTTB

    Unitymedia baut zwei Gemeinden mit Glasfaser aus

  10. Hashfunktion

    Der schwierige Abschied von SHA-1



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
WLAN-Störerhaftung: Wie gefährlich sind die Netzsperrenpläne der Regierung?
WLAN-Störerhaftung
Wie gefährlich sind die Netzsperrenpläne der Regierung?
  1. Telia Schwedischer ISP muss Nutzerdaten herausgeben
  2. Die Woche im Video Dumme Handys, kernige Prozessoren und Zeldaaaaaaaaaa!
  3. Störerhaftung Regierung will Netzsperren statt Abmahnkosten

In eigener Sache: Golem.de sucht Marketing Manager (w/m)
In eigener Sache
Golem.de sucht Marketing Manager (w/m)
  1. In eigener Sache Golem.de geht auf Jobmessen
  2. In eigener Sache Golem.de kommt jetzt sicher ins Haus - per HTTPS
  3. In eigener Sache Unterstützung für die Schlussredaktion gesucht!

Mobile-Games-Auslese: Würfelkrieger und Kartendiebe für mobile Spieler
Mobile-Games-Auslese
Würfelkrieger und Kartendiebe für mobile Spieler

  1. Glückwunsch zur erfolgreichen Landung!

    Malachi | 00:40

  2. Re: Das dritte Pixel-Spiel die Woche

    burzum | 00:38

  3. Re: Wer eine fragliche Datei mehre Tage iim...

    TC | 00:36

  4. Re: Whitewashing, was ein Quatsch!

    mnementh | 00:22

  5. Re: Ein bisschen hoch der Fingerabrducksensor

    Topf | 00:00


  1. 22:53

  2. 19:00

  3. 18:40

  4. 18:20

  5. 18:00

  6. 17:08

  7. 16:49

  8. 15:55


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel