Lenovos Datentausch-App Shareit: 12345678 als Standardpasswort
In der Shareit-Anwendung von Lenovo klaffen mehrere Schwachstellen, über die Angreifer Nutzern unter anderem Schadcode unterjubeln können. Gefixte Version sollen das unterbinden.
Lenovos Datentausch-App Shareit für Android und Windows ist verwundbar. Über die Schwachstellen können Angreifer Verbindungen auszuhorchen und Nutzern etwa Schadcode unterschieben, warnt Lenovo. Abgesicherte Versionen stehen zum Download bereit.
Unter Android soll die Version 3.0.18_ww verwundbar sein und unter Windows die Version 2.5.1.1. Weitere Versionen können ebenfalls gefährdet sein, wurden Lenovo zufolge aber nicht getestet. Ob die Apps für Apple-Geräte oder Windows Phone auch betroffen sind, ist derzeit nicht bekannt.
WLAN-Hotspot mit 12345678 "gesichert"
Will man mit Shareit unter Windows Dateien austauschen, baut die Anwendung einen WLAN-Hotspot mit dem Standardpasswort 12345678 auf. Angreifer sollen in diesem Fall über eine HTTP-Anfrage die zu teilenden Dateien einsehen, aber nicht herunterladen können, versichert Lenovo.
Die Dateiübertragung soll zudem unverschlüsselt stattfinden und ein Angreifer könnte in einer Man-in-the-Middle-Position den Netzwerkverkehr einsehen und manipulieren. Im schlimmsten Fall könnte er Nutzern so Schadcode unterschieben.
Android-Version ohne Passwort
Wenn die Android-App von Shareit zum Empfang von Dateien genutzt wird, stellt diese einen WLAN-Hotspot ohne Passwort bereit. Angreifer können sich so ohne Aufwand in die Verbindung einklinken und Informationen mitschneiden. (des)