現在人們同時使用智能手機和電腦,有時需要交換不同裝置的檔案,因此網上有不少手機程式助大家完成這個項工作。然而聯想的手機程式 SHAREit 日前被揭發有多個漏洞,除了只使用 HTTP 來傳送檔案之外,建立 Wi-Fi 熱點時更只用 12345678 這典型危險密碼。更新版已推出,用家應盡快下載。
SHAREit 有 Android 和 Windows 版本,資訊安全公司 Core Security 共發現四個漏洞。首先當 SHAREit 在 Windows 裝置接收檔案時,會建立一個 Wi-Fi 熱點,但密碼是 12345678 ,由於這個密碼十分易猜,是典型的危險密碼,加上這個密碼是一早預設,每次接收檔案時都是 12345678,因此其他系統可輕易連接。接著,當那些 Windows 裝置被連接時,別人可以發出 HTTP 請求,未經授權瀏覽檔案。
第三無論是 Windows 還是 Android 版本的 SHAREit,檔案交換時都只透過 HTTP 進行,沒有加密,可讓攻擊者檢視數據傳送和展開中間人攻擊。最後一個漏洞是關於 Android 版。與 Windows 裝置一樣,裝置接收檔案時會建立 Wi-Fi 熱點,不過這次不是 12345678 密碼,而是連密碼都沒有,故攻擊者可連接裝置截取資料。
聯想已推出 SHAREit 的最新版修補漏洞,用家應馬上更新,詳情可到官方網站瀏覽。
Source : Tech Worm
