12345678: Lenovos Shareit-App verwendet unsicheres Standardkennwort

Lenovos Chef kündigte zwar im Interview vor einigen Wochen an, künftig sichere Software einsetzen zu wollen - im Fall eines Programms zur Dateiübertragung funktioniert das jedoch noch nicht besonders gut.

Artikel veröffentlicht am ,
Lenovos Shareit-App hat es mit der Sicherheit nicht so genau genommen.
Lenovos Shareit-App hat es mit der Sicherheit nicht so genau genommen. (Bild: Screenshot:Golem.de)

Die Forscher der Sicherheitsfirma Coresecurity haben Schwachstellen in Lenovos Programm zur Dateiübertragung zwischen PC und Smartphone gefunden. Die Software mit dem Namen Shareit sei in den Versionen 3.0.18_ww für Android und 2.5.11 für Windows verwundbar, heißt es in einem Blogbeitrag. Lenovo hat die Schwachstellen unterdessen gefixt.

Stellenmarkt
  1. Softwareentwickler - CAD/PLM (m/w/d)
    Hays AG, Esslingen
  2. Informationssicherheitsbeauf- tragter (m/w/d)
    Versicherungskammer Bayern Versicherungsanstalt des öffentlichen Rechts, München Altstadt-Lehel
Detailsuche

Die Software existiert auch für iOS und Windows-Phone-Geräte. Ob diese Versionen ebenfalls angreifbar sind, wurde bislang nicht getestet. Die App erstellt unter Windows einen WLAN-Hotspot, mit dem sich dann auch die anderen zum Dateiaustausch verwendeten Geräte verbinden müssen. Dieser WLAN-Hotspot setzt in den angreifbaren Versionen auf das unsichere Standardpasswort 12345678. Dieses Passwort kann vom Nutzer nicht geändert werden. Die Schwachstelle hat die CVE-Nummer 2016-1491.

Man-In-The-Middle-Angriff

Ein Angreifer kann sich nach Angaben der Sicherheitsforscher außerdem mit dem Netzwerk verbinden und die freigegebenen Dateien per http-Request auslesen, soll diese aber nicht auf sein Gerät herunterladen können. Grund hierfür ist eine nicht genauer beschriebene Schwachstelle in dem von Lenovo zum Dateiaustausch gestarteten Webserver (CVE-2016-1490). Die Dateien werden zudem unverschlüsselt übertragen - ein böswilliger Angreifer im Netzwerk könnte daher als Man-In-The-Middle den Traffic mitschneiden, aber auch verändern - und so auch Schadcode in das System injizieren (CVE-2016-1489).

Wird ein Shareit-Hotspot auf Android-Geräten gestartet, verzichtet das Programm in der verwundbaren Version ganz auf lästige Sicherungsmaßnahmen und erstellt einen offenen Hotspot ohne Passwort. Lenovos Chef hatte vor einigen Wochen in einem Interview Microsoft für das kostenfreie Windows-10-Upgrade kritisiert. Als Reaktion auf den Superfish-Skandal kündigte er außerdem an, künftig verstärkt sichere Software einzusetzen, um das Vertrauen der Kunden zurückzugewinnen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Geplante Obsoleszenz
Epson schaltet Drucker wegen voller Schwämme ab

Die Drucker funktionieren noch tadellos, ein angebliches Risiko durch volle Tintenschwämme ist für Epson aber Grund, die Geräte zu deaktivieren.

Geplante Obsoleszenz: Epson schaltet Drucker wegen voller Schwämme ab
Artikel
  1. Glorious GMMK Numpad: Nummernblock hat mechanische Switches und Schieberegler
    Glorious GMMK Numpad
    Nummernblock hat mechanische Switches und Schieberegler

    Das GMMK Numpad kommt mit austauschbaren Switches und im Aluminiumgehäuse. Außerdem gibt es ein Lautstärkerad und einen analogen Schieber.

  2. Staubsaugerroboter: Amazon kann nach Roomba-Deal Wohnungen kartieren
    Staubsaugerroboter
    Amazon kann nach Roomba-Deal Wohnungen kartieren

    Moderne Saugroboter erfassen Grundrisse und mehr von Wohnungen. Diese Daten könnte Amazon als neuer Eigentümer von iRobot gut gebrauchen.

  3. Framework Laptop 2 im Test: In zehn Minuten zum neuen Prozessor im Notebook
    Framework Laptop 2 im Test
    In zehn Minuten zum neuen Prozessor im Notebook

    Der Framework Laptop 2 bringt Intels bessere Alder-Lake-Chips. Statt neu zu kaufen, können wir unseren alten Laptop auch einfach aufrüsten.
    Ein Test von Oliver Nickel

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindStar (Gainward RTX 3070 559€, ASRock RX 6800 639€) • WD Black SSD 2TB m. Kühlkörper (PS5) 219,90€ • Gigabyte Deals • Alternate (DeepCool Wakü 114,90€, PC-Netzteil 79,90€) • be quiet! Deals • SSV bei Saturn (u. a. WD_BLACK SN850 1TB 119€) Gamesplant Summer Sale [Werbung]
    •  /