圖片來源: 

Lenovo

資安業者Core Security本周披露了聯想所釋出的免費檔案分享程式SHAREit含有諸多漏洞,包括使用固定密碼、機密資料缺乏加密、缺乏授權,以及資訊揭露漏洞等,聯想則已在周一(1/25)修補Android與Windows平台上的SHAREit。

由聯想所開發的SHAREit標榜可快速配對手機、平板電腦與PC,不必透過Wi-Fi網路、纜線或行動數據就能進行檔案、照片、影片或文件的傳輸,適用於Phone to PC、PC to PC與Phone to Phone,並支援Windows、Windows Phone、Android與iOS平台。估計迄今已有超過3000萬名用戶,分享的照片及檔案數量已分別達到1.83億及4.03億。

Core Security所發現的漏洞藏匿在Android與Windows版本的SHAREit程式中。

其中,支援Windows的SHAREit採用了固定的「12345678」密碼,使得任何具有Wi-Fi網路卡的用戶都能存取該Wi-Fi熱點,還能瀏覽該裝置上的檔案。

此外,Windows與Android上的SHAREit都是透過未加密的HTTP進行傳輸,容易遭受中間人攻擊。在Android版本上還有一個漏洞是它採用了不需密碼的開放Wi-Fi熱點,讓駭客可輕易連結並取得裝置間所傳輸的資料。

外界批評這些多屬於可輕易防範、不負責任的臭蟲。Core Security提醒,其他SHAREit版本也可能受到相關漏洞的影響,只是該公司並未加以測試。聯想已於周一修補了Windows及Android平台的SHAREit版本,但並未更新iOS上的SHAREit。

熱門新聞

Advertisement