Lenovoのファイル共有アプリに脆弱性、「12345678」のパスワードをハードコード
Windows版のSHAREitでは、Wi-Fiホットスポットに「12345678」という安易なパスワードがハードコードされていた。
Lenovoのファイル共有アプリ「SHAREit」に安易なパスワードがハードコードされている脆弱性が発見され、WindowsとAndroid向けの更新版で修正された。セキュリティ企業のCore Securityが1月25日に脆弱性情報を公開して明らかにした。
SHAREitは、PCとAndroidやiOS端末の間でWi-Fi技術を使って動画や音楽や文書などのファイルを転送できるアプリ。Core SecurityではWindowsとAndroid向けの同アプリに4件の脆弱性を発見し、Lenovoに連絡を取って対応に協力していたという。
このうちハードコードされたパスワードの脆弱性はWindows版のSHAREitに存在していたもので、Wi-Fiホットスポットに「12345678」という安易なパスワードが設定されていた。Wi-Fiネットワークカードを搭載したシステムであれば、このパスワードを使って同ホットスポットに誰でもアクセスできてしまう状態だったという。
他にもファイルが暗号化されないままHTTP接続経由で転送される問題や、Wi-Fiホットスポットがパスワードなしで作成される問題などがあり、攻撃者に転送中の情報を傍受されたり、ファイルの内容を改ざんされたりする恐れがあった。
Core SecurityはAndroid向けSHAREitのバージョン3.0.18_wwと、Windows向けのバージョン2.5.1.1で脆弱性を確認した。それ以外のバージョンも影響を受ける可能性があるとしている。
関連記事
- Lenovoのサポートソフトに深刻な脆弱性、東芝とDellにも問題か
Lenovoの「Lenovo Solution Center」の脆弱性を発見した研究者は、Dellと東芝のPCにプリインストールされているソフトウェアについても同様の脆弱性を指摘している。 - 安易なパスワードの2015年版ランキング、上位は?
「1234567890」など数字の羅列を長くしただけのパスワードは、「セキュリティ対策としては無意味」だとSplashDataは指摘する。 - Lenovo、System Updateの脆弱性を修正 管理者権限を取得される恐れ
「System Update」の脆弱性を悪用された場合、攻撃者に管理者権限を取得される恐れがある。 - Lenovo、BIOSプログラムの脆弱性に対処 「迷惑ウェア」の指摘も
Lenovo製一部PCのBIOSに含まれる「Lenovo Service Engine」(LSE)では、たとえWindowsを再インストールしてもLenovoのソフトウェアが自動的にインストールされる仕組みになっていたという
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.