Бережіться, ваш гаджет під ударом: файлообмінник Lenovo наповнений багами

Компанія Lenovo знову страждає від нових багів в системі своїх гаджетів

Компанія Lenovo не вперше піддається критиці з боку фахівців в області інформаційної безпеки. Наприклад, на пристроях компанії не раз виявляли встановлене небажане комп’ютерне забезпечення.

Цього разу експерти компанії Core Security вивчили Windows і Android версії додатка SHAREit, яке Lenovo пропонує використовувати для обміну файлами між різними пристроями (подібно Dropbox). Судячи з п’яти знайдених уразловостей, про безпеку користувачів розробники Lenovo як і раніше не надто турбуються.

Windows-версія додатка SHAREit містить три уразливості.

По-перше, додаток містить жорстко закодований пароль, який зберігається в коді (CVE-2016-1491). Коли додаток готується до отримання файлів, воно піднімає на Windows-пристрої хотспот Wi-Fi, пароль за замовчуванням для якого «12345678». Пароль однаковий завжди, при кожному запуску хотспота. Більш того, користувач взагалі не має можливості його змінити, чи не покопавшись в вихідному коді SHAREit.

По-друге, баг з паролем можна буде експлуатувати і далі, поки працює хотспот (CVE-2016-1490). Атакуючий може отримати доступ до файлів пристрою, на якому запущено хотспот, посилаючи певні HTTP-запити на веб-сервер, який SHAREit приховано запускає під час роботи.

По-третє, додаток для Windows демонструє дуже слабке шифрування під час передачі файлів між пристроями (CVE-2016-1489). Ця ж проблема стосується і версії для Android. Користувачі піддаються ризику man-in-the-middle атак.

Тоді як слабке шифрування є спільною проблемою обох версій додатка, новий баг CVE-2016-1492 представлений виключно у версії для мобільних Android.

Якщо Windows-версія SHAREit має дуже слабкий жорстко закодований пароль, то Android-версія не має пароля зовсім. Фактично Wi-Fi хотспот відкритий для всіх бажаючих, будь знаходиться поблизу зловмисник може безперешкодно перехопити передавання даних між пристроями файли.

Фахівці Core Security пишуть, що описані проблеми поширюються на SHAREit для Android версії 3.0.18_ww, а також SHAREit для Windows версії 2.5.1.1. Більш ранні версії додатків, швидше за все, теж під загрозою.

Компанія Lenovo вже випустила виправлені версії програм, так що експерти Core Security настійно рекомендують всім користувачам встановити оновлення.

Нагадаємо про те, що Huawei спіймали на нахабній брехні, компанія спробувала безглуздо виправдатися перед користувачами.

Як повідомляла Politeka, Sony зробила один з найбільш потужних смартфонів.

Також Politeka писала, що Xiaomi випустив новий смартфон.

Источник: Хакер