Aplicación para compartir archivos de Lenovo tendría además otros tres fallos de seguridad.
Lenovo se ha visto obligado a emitir una actualización de seguridad para su aplicación de intercambio de archivos, después de su puesta en marcha con la contraseña “12345678”.
El software ShareIT se lía con muchos de los dispositivos de Windows y Android de Lenovo, y permite a los usuarios compartir archivos entre PCs, teléfonos inteligentes y tabletas.
Según los investigadores de Core Security, la aplicación tiene cuatro vulnerabilidades incluyendo la contraseña de fallo.
“Cuando Lenovo ShareIT para Windows está configurada para recibir archivos, un punto de acceso Wi-Fi está configurado con una contraseña fácil (12345678). Cualquier sistema con una tarjeta de red Wi-Fi puede conectarse a ese Hotspot mediante el uso de la contraseña. La contraseña es siempre la misma“, se dijo en un comunicado de asesoramiento de Core.
- El defecto (CVE-2016-1491) afecta ShareIT para Android 3.0.18 y Windows 2.5.1.1. Otros los productos y versiones también pueden estar involucrados, pero no se han evidenciado.
- Otro defecto (CVE-2016-1490) afecta a la navegación remota de intercambio de archivos en la aplicación, explicó Core.
“Cuando la red Wi-Fi está encendida y conectada con la contraseña por defecto (12345678), los archivos se pueden consultar pero no descargarse mediante la realización de una petición HTTP al servidor Web lanzado por Lenovo ShareIT“, dijo la firma en el mismo asesor.
- Un tercer defecto (CVE-2016-1489) considera los archivos transferidos en texto plano. “Un atacante que es capaz de olfatear el tráfico de la red podría ver los datos transferidos o realizar ataques man-in-the-middle, por ejemplo mediante la modificación del contenido de los archivos transferidos“.
- Un cuarto problema con la aplicación es que un atacante podría conectar a una red inalámbrica creada por la aplicación y “capturar la información transferida entre esos dispositivos“. Una red inalámbrica abierta podría ser creado sin ninguna contraseña.
La firma de seguridad de TI dijo que había alertado a Lenovo sobre los problemas en octubre, pero Lenovo recién acaba de publicar un parche para solucionar los múltiples problemas.
Como se recuerda, en diciembre pasado, Lenovo instó a los usuarios para desinstalar su propio software (una pieza pre-instalada de bloatware) con el fin de corregir un defecto en su software que monitoreaba la salud de su sistema.
Te invitamos a seguirnos en Facebook y Twitter.