Lenovoのファイル転送アプリケーション「SHAREit」に複数の脆弱性 23
ストーリー by hylom
またLenovoか 部門より
またLenovoか 部門より
headless 曰く、
Windows PCとスマートフォン/タブレットとの間でファイルを転送するLenovoのアプリケーション「SHAREit」で複数の脆弱性が発見され、Lenovoが修正版を公開している(Core Securityのアドバイザリ、V3.co.uk、Register)。
SHAREitは受信側のデバイスが無線LANのアクセスポイントとなり、送信側のデバイスがそこに接続してファイルを転送する。脆弱性が見つかったのはWindows版(バージョン2.5.1.1)とAndroid版(バージョン3.0.18_ww)だが、発見者のCore Securityは他のOS(iOS/Windows Phone)や他のバージョンでのテストは行っていないとのこと。
見つかった脆弱性は以下の4件。
- CVE-2016-1491:Windows版のWi-Fiパスワードがハードコード(12345678)されている
- CVE-2016-1490:Windows版のWi-Fiホットスポットに接続してHTTPリクエストを送ることで、受信側デバイスのファイル一覧が取得できる
- CVE-2016-1489:Windows版とAndroid版で転送されるファイルは暗号化されない
- CVE-2016-1492:Android版はWi-Fiパスワードが設定されず、認証なしで接続できる
オオカミ少年 (スコア:2, おもしろおかしい)
もうLenovoがこの手のをやったときにはわざとだとしか思えないようになった。
さよならThinkpad。
Re:オオカミ少年 (スコア:2, おもしろおかしい)
Re: (スコア:0)
悪気があったらもう少し隠すと思うんだ。
この無防備ぶりは、単に天然なだけかと。
信頼できないことには変わりないが。
Re: (スコア:0)
お上に従う振りをして、あえて見つかるように実装したとか。
もしくは、これはダミーで本丸は別のところにあるとか。
Re: (スコア:0)
全く逆だよ。
バックドアを作りたいならまずはドアを作る必要がある。
これはそもそもドアを作り忘れている。
技術的なところはともかく、セキュリティ的な感覚が、サンデープログラマの
「俺しか使わんから、良いっか」
的なレベル。
Re: (スコア:0)
まあ、普通はそう判断するよね。
Lenovo製品は何が仕込まれてるかわからない、買わない・利用しないにこしたことはないと。
#なんか時々「他社製だって同じ」とか言う人もいるけど、そういう人は、だからといってLenovoを外す理由を覆す事にはならないことに気づかないんだよなあ
Wi-Fi Direct の劣化版? (スコア:1)
Wi-Fi Direct だと、まっとうな認証処理があるから Lenovo 的には困るのかもとかうがった見方しちゃうよね。
Re:Wi-Fi Direct の劣化版? (スコア:2, 参考になる)
Wi-Fi Directってのは、デバイス同士で直接つながるためのプロトコル。
ファイルを転送などの機能はもっと上のアプリケーションレイヤーで実現されているだけで、
Wi-Fi Direct自体が持っている機能ではない。
SHAREitもそういうアプリケーションの一つ。
"Lenovo's Free SHAREIt App Transfers Files Between All Your Devices via Wi-Fi Direct" [tomsguide.com]
普通のWi-Fiコネクションでも、規格上では「まっとうな認証機能」が用意されているが、
それを使うかどうかはユーザーやアプリケーションデベロッパー次第。
パスワードも暗号化もせずに使う奴が大勢いるのはご存知の通り。
LenovoはWi-Fi Directを利用するアプリでそれを「やらかした」というわけ。
次の「ファイル交換ソフト」は? (スコア:0)
中共仕様だよね、これ。。
まあ、手抜きだね (スコア:0)
「使うとき以外は無効にしておけば安全。だからできるだけ簡単に」って奴だね。
ある程度は間違いではないが、大企業が大々的にやれば狙い目にもなりかねない。
Re: (スコア:0)
下請けに投げるときにセキュリティ関係のこと何も指示せず、
請けた方も指示されてないから余計なことしちゃいかんとしたがったのだろう。
昔々、TFTP ってのがあったよね (スコア:0)
って思いだしたよ.そのノリだなこいつは…
Re: (スコア:0)
tftpはファームウェア更新とかで使うでしょ
Re: (スコア:0)
Yamahaルータのconfig吸い出しはいつもこれ。
事後に必ずno tftp hostしとく
ディスクレスのネットワークブートにも使ったっけ。
Re: (スコア:0)
そいつはルーターやスイッチのファームウェアや設定バックアップ、Windowsリモートインストール自動化のために「あえて」認証無しにしてるだけだ。
認証方式変えることもままならない状況、機器のためなので、場所考えずに置くほうが変。
Lenovo定期 (スコア:0)
ホント忘れたころに何かしら話題を提供してくれるのね
もうこうなると「今でもLenovo買うアホいるの?」ってレベル
さすがに法人向けとか壊滅状態だよね?
Re:Lenovo定期 (スコア:1)
次のスパイウェア/でっかい脆弱性が発覚するのは(これまでのペースだと)5月ぐらいですかね。
Lenovo、買うとこは買うと思いますよ。安いもの。自分だってあんなとこじゃなければ買ってた製品がいくつも・・・・・。
ハードにはいい面が結構あるだけに残念です。
Re: (スコア:0)
うちの会社なんかLenovoだらけだよ
俺は理由つけて避けてるけど意味ないだろうなぁ
Re: (スコア:0)
情シスや購買やってる連中は馬鹿ばっかだからまともに製品の評価なんぞせず金額で決めるからな
Re: (スコア:0)
アメリカ、イギリス、オーストラリア、カナダ、ニュージーランドの
諜報・防衛機関ではアウトらしいですね。日本政府はどうなんだろう。
Re: (スコア:0)
まあ諜報機関が海外メーカーPC使ってたら余程そこが信頼できるのか、でなきゃちょっと頭おかしいと思うな。
OSは中々内製とはいかないけど、PCは容易に調達できるんだから。
Re: (スコア:0)
防衛庁はdell製のPC普通につこてますね
もちろんセグメントの機密度によって違うと思いたいが
#とはいえ国内PCメーカーも実質アジア圏での製造だから
#あまりもう意味のない概念なのか
shareit はわかりやすい地雷だから最初から消した (スコア:0)
shareitはアプリ単位で消せるからまだマシ
レノボはユーティリティに隠してあるスパイウェアとか多すぎ