联想文件共享软件使用硬编码密码：12345678

研究人员称攻击者可以轻松访问共享的文件。

近日，CoreSecurity 的研究人员发现硬件厂商联想开发的一款用于 Android 设备与 Windows 电脑之间传送文件的应用中包含多个高危漏洞，影响版本为 Lenovo ShareIT Android 3.0.18 以及Windows 2.5.1.1。

CoreSecurity 的研究人员发现联想提供的免费共享软件 SHAREit 在配置时为 Windows 创建了一个密码为“12345678”的热点，12345678是最常用的密码之一， 使用频率仅次于 123456 和 password 。换句话说，运行着 SHAREit 软件的系统已经为攻击者敞开了大门，任何带 Wi-Fi功能的设备都可以利用这个相同的密码访问该热点。

而在 SHAREit for Android 设备这边，它也设置了一个开放的 wifi 热点，该热点无需任何密码便可访问。这有可能允许攻击者无需验证就可以连接 Android 设备并且捕捉传送的数据，CoreSecurity 称。

研究人员也指出，文件传输使用的是纯文本超文本传输协议（plain-text hyper text transport protocol ），没有采取任何加密措施；攻击者可以拦截并修改数据，并且可以在内网中实施中间人（man-in-the-middle）攻击。

当然攻击者也可以仅仅浏览而不下载这些数据。攻击者可以做出网络服务器请求以及使用默认密码 123454678，就可以连接并且访问运行着 SHAREit 的 Windows 电脑。

Core Security 早在去年10月29日就通知了联想相关信息。但是直至昨天，联想才发行了 SHAREit 的修复版本，修复了多个可导致信息泄露、安全协议绕过和中间人攻击的高危漏洞。

【文章来源：itnews，请注明来自威客安全】