Error de seguridad de ShareIT en Lenovo

Total
0
Shares
ShareIT en Lenovo

Aplicación para compartir archivos de Lenovo tendría además otros tres fallos de seguridad.

Lenovo se ha visto obligado a emitir una actualización de seguridad para su aplicación de intercambio de archivos, después de su puesta en marcha con la contraseña “12345678”.

El software ShareIT se lía con muchos de los dispositivos de Windows y Android de Lenovo, y permite a los usuarios compartir archivos entre PCs, teléfonos inteligentes y tabletas.

Según los investigadores de Core Security, la aplicación tiene cuatro vulnerabilidades incluyendo la contraseña de fallo.

Cuando Lenovo ShareIT para Windows está configurada para recibir archivos, un punto de acceso Wi-Fi está configurado con una contraseña fácil (12345678). Cualquier sistema con una tarjeta de red Wi-Fi puede conectarse a ese Hotspot mediante el uso de la contraseña. La contraseña es siempre la misma“, se dijo en un comunicado de asesoramiento de Core.

  • El defecto (CVE-2016-1491) afecta ShareIT para Android 3.0.18 y Windows 2.5.1.1. Otros los productos y versiones también pueden estar involucrados, pero no se han evidenciado.
  • Otro defecto (CVE-2016-1490) afecta a la navegación remota de intercambio de archivos en la aplicación, explicó Core.

Cuando la red Wi-Fi está encendida y conectada con la contraseña por defecto (12345678), los archivos se pueden consultar pero no descargarse mediante la realización de una petición HTTP al servidor Web lanzado por Lenovo ShareIT“, dijo la firma en el mismo asesor.

  • Un tercer defecto (CVE-2016-1489) considera los archivos transferidos en texto plano. “Un atacante que es capaz de olfatear el tráfico de la red podría ver los datos transferidos o realizar ataques man-in-the-middle, por ejemplo mediante la modificación del contenido de los archivos transferidos“.
  • Un cuarto problema con la aplicación es que un atacante podría conectar a una red inalámbrica creada por la aplicación y “capturar la información transferida entre esos dispositivos“. Una red inalámbrica abierta podría ser creado sin ninguna contraseña.

La firma de seguridad de TI dijo que había alertado a Lenovo sobre los problemas en octubre, pero Lenovo recién acaba de publicar un parche para solucionar los múltiples problemas.

Como se recuerda, en diciembre pasado, Lenovo instó a los usuarios para desinstalar su propio software (una pieza pre-instalada de bloatware) con el fin de corregir un defecto en su software que monitoreaba la salud de su sistema.

Te invitamos a seguirnos en Facebook y Twitter.

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.


Recibe los trucos más ocultos de tecnología 🤫

Aprende trucos como la técnica 'correo+1' para recibir correos en tu misma cuenta principal. ¡Únete ahora y accede a información exclusiva!

¡No hacemos spam! Lee nuestra política de privacidad para obtener más información.


Puede que también te interese