Lenovoのファイル転送アプリケーション「SHAREit」に複数の脆弱性
2016年1月29日 21:21
headless 曰く、 Windows PCとスマートフォン/タブレットとの間でファイルを転送するLenovoのアプリケーション「SHAREit」で複数の脆弱性が発見され、Lenovoが修正版を公開している(Core Securityのアドバイザリ、V3.co.uk、Register)。
SHAREitは受信側のデバイスが無線LANのアクセスポイントとなり、送信側のデバイスがそこに接続してファイルを転送する。脆弱性が見つかったのはWindows版(バージョン2.5.1.1)とAndroid版(バージョン3.0.18_ww)だが、発見者のCore Securityは他のOS(iOS/Windows Phone)や他のバージョンでのテストは行っていないとのこと。
見つかった脆弱性は以下の4件。
CVE-2016-1491:Windows版のWi-Fiパスワードがハードコード(12345678)されている CVE-2016-1490:Windows版のWi-Fiホットスポットに接続してHTTPリクエストを送ることで、受信側デバイスのファイル一覧が取得できる CVE-2016-1489:Windows版とAndroid版で転送されるファイルは暗号化されない CVE-2016-1492:Android版はWi-Fiパスワードが設定されず、認証なしで接続できる スラドのコメントを読む | セキュリティセクション | セキュリティ | ネットワーク | バグ | 暗号 | IT
関連ストーリー: FreeBSDをリモートからクラッシュさせることが可能な脆弱性 2016年01月28日 Java SE 8 Update 71公開、java.comの最新版インストーラーの使用を強く推奨 2016年01月22日 BIND 9系に脆弱性 2016年01月22日 Lenovoが新たなスパイウェアプリインストール疑惑に対し説明 2015年09月30日