Lenovoのファイル共有アプリ「SHAREit」に安易なパスワードがハードコードされている脆弱性が発見され、WindowsとAndroid向けの更新版で修正された。セキュリティ企業のCore Securityが1月25日に脆弱性情報を公開して明らかにした。

Lenovoのファイル共有アプリ

SHAREitは、PCとAndroidやiOS端末の間でWi-Fi技術を使って動画や音楽や文書などのファイルを転送できるアプリ。Core SecurityではWindowsとAndroid向けの同アプリに4件の脆弱性を発見し、Lenovoに連絡を取って対応に協力していたという。

このうちハードコードされたパスワードの脆弱性はWindows版のSHAREitに存在していたもので、Wi-Fiホットスポットに「12345678」という安易なパスワードが設定されていた。Wi-Fiネットワークカードを搭載したシステムであれば、このパスワードを使って同ホットスポットに誰でもアクセスできてしまう状態だったという。

他にもファイルが暗号化されないままHTTP接続経由で転送される問題や、Wi-Fiホットスポットがパスワードなしで作成される問題などがあり、攻撃者に転送中の情報を傍受されたり、ファイルの内容を改ざんされたりする恐れがあった。

Core SecurityはAndroid向けSHAREitのバージョン3.0.18_wwと、Windows向けのバージョン2.5.1.1で脆弱性を確認した。それ以外のバージョンも影響を受ける可能性があるとしている。

脆弱性を報告したCore Security

Copyright © ITmedia, Inc. All Rights Reserved.