Abo
  • IT-Karriere:

12345678: Lenovos Shareit-App verwendet unsicheres Standardkennwort

Lenovos Chef kündigte zwar im Interview vor einigen Wochen an, künftig sichere Software einsetzen zu wollen - im Fall eines Programms zur Dateiübertragung funktioniert das jedoch noch nicht besonders gut.

Artikel veröffentlicht am ,
Lenovos Shareit-App hat es mit der Sicherheit nicht so genau genommen.
Lenovos Shareit-App hat es mit der Sicherheit nicht so genau genommen. (Bild: Screenshot:Golem.de)

Die Forscher der Sicherheitsfirma Coresecurity haben Schwachstellen in Lenovos Programm zur Dateiübertragung zwischen PC und Smartphone gefunden. Die Software mit dem Namen Shareit sei in den Versionen 3.0.18_ww für Android und 2.5.11 für Windows verwundbar, heißt es in einem Blogbeitrag. Lenovo hat die Schwachstellen unterdessen gefixt.

Stellenmarkt
  1. Lidl Dienstleistung GmbH & Co. KG, Neckarsulm
  2. Horváth & Partners Management Consultants, Berlin, Düsseldorf, Frankfurt am Main, Hamburg, München, Stuttgart

Die Software existiert auch für iOS und Windows-Phone-Geräte. Ob diese Versionen ebenfalls angreifbar sind, wurde bislang nicht getestet. Die App erstellt unter Windows einen WLAN-Hotspot, mit dem sich dann auch die anderen zum Dateiaustausch verwendeten Geräte verbinden müssen. Dieser WLAN-Hotspot setzt in den angreifbaren Versionen auf das unsichere Standardpasswort 12345678. Dieses Passwort kann vom Nutzer nicht geändert werden. Die Schwachstelle hat die CVE-Nummer 2016-1491.

Man-In-The-Middle-Angriff

Ein Angreifer kann sich nach Angaben der Sicherheitsforscher außerdem mit dem Netzwerk verbinden und die freigegebenen Dateien per http-Request auslesen, soll diese aber nicht auf sein Gerät herunterladen können. Grund hierfür ist eine nicht genauer beschriebene Schwachstelle in dem von Lenovo zum Dateiaustausch gestarteten Webserver (CVE-2016-1490). Die Dateien werden zudem unverschlüsselt übertragen - ein böswilliger Angreifer im Netzwerk könnte daher als Man-In-The-Middle den Traffic mitschneiden, aber auch verändern - und so auch Schadcode in das System injizieren (CVE-2016-1489).

Wird ein Shareit-Hotspot auf Android-Geräten gestartet, verzichtet das Programm in der verwundbaren Version ganz auf lästige Sicherungsmaßnahmen und erstellt einen offenen Hotspot ohne Passwort. Lenovos Chef hatte vor einigen Wochen in einem Interview Microsoft für das kostenfreie Windows-10-Upgrade kritisiert. Als Reaktion auf den Superfish-Skandal kündigte er außerdem an, künftig verstärkt sichere Software einzusetzen, um das Vertrauen der Kunden zurückzugewinnen.



Anzeige
Spiele-Angebote
  1. 3,99€
  2. (-77%) 13,99€
  3. 4,99€

Moe479 28. Jan 2016

das währr für mich besser als "standardmäßig unsicher"


Folgen Sie uns
       


Mordhau Gameplay

Klirrende Klingen und packende Kämpfe mit bis zu 64 Spielern bietet das in einem mittelalterlichen Szenario angesiedelte Actionspiel Mordhau.

Mordhau Gameplay Video aufrufen
Minecraft Dungeons angespielt: Fehlt nur noch ein Klötzchen-Diablo in der Tiefe
Minecraft Dungeons angespielt
Fehlt nur noch ein Klötzchen-Diablo in der Tiefe

E3 2019 Von der Steuerung bis zu den Schatzkisten: Minecraft Dungeons hat uns beim Anspielen bis auf die Klötzchengrafik verblüffend stark an Diablo erinnert - und könnte gerade deshalb teuflisch spaßig werden!

  1. Augmented Reality Minecraft Earth erlaubt Klötzchenbauen in aller Welt
  2. Microsoft Augmented-Reality-Minecraft kommt zum zehnten Jubiläum
  3. Jubiläum ohne Notch Microsoft feiert Minecraft ohne Markus Persson

Ocean Discovery X Prize: Autonome Fraunhofer-Roboter erforschen die Tiefsee
Ocean Discovery X Prize
Autonome Fraunhofer-Roboter erforschen die Tiefsee

Öffentliche Vergaberichtlinien und agile Arbeitsweise: Die Teilnahme am Ocean Discovery X Prize war nicht einfach für die Forscher des Fraunhofer Instituts IOSB. Deren autonome Tauchroboter zur Tiefseekartierung schafften es unter die besten fünf weltweit.
Ein Bericht von Werner Pluta

  1. JAB Code Bunter Barcode gegen Fälschungen

Ada und Spark: Mehr Sicherheit durch bessere Programmiersprachen
Ada und Spark
Mehr Sicherheit durch bessere Programmiersprachen

Viele Sicherheitslücken in Software sind auf Programmierfehler zurückzuführen. Diese Fehler lassen sich aber vermeiden - und zwar unter anderem durch die Wahl einer guten Programmiersprache. Ada und Spark gehören dazu, leider sind sie immer noch wenig bekannt.
Von Johannes Kanig

  1. Das andere How-to Deutsch lernen für Programmierer
  2. Programmiersprachen, Pakete, IDEs So steigen Entwickler in Machine Learning ein
  3. Software-Entwickler Welche Programmiersprache soll ich lernen?

    •  /