Lenovoが「12345678」をSHAREitのWi-Fiパスワードに設定していたことが判明

By alexljackson

Lenovoが提供している「SHAREit」は、iOS・Android・Windows Phone・Windows・Mac間など、あらゆるデバイス間でWi-Fiを通じてファイルを転送できるツールです。そんなSHAREitのファイル転送時に構成されるWi-Fiホットスポットのパスワードが、なんと危険なパスワード配列の代表格ともいえる「12345678」でハードコードされていることが判明しました。

Lenovo ShareIT for Windows Multiple Vulnerabilities
http://www.coresecurity.com/advisories/lenovo-shareit-multiple-vulnerabilities

Lenovo protects your backdoor security with a really, really bad password- The Inquirer
http://www.theinquirer.net/inquirer/news/2443276/wtf-lenovo-protects-your-backdoor-security-with-a-really-really-really-bad-password

SHAREitは各OS向けにソフトおよびアプリが提供されていますが、Wi-Fiホットスポットのパスワードが「12345678」でハードコードされているのは「SHAREit for Windows」とのこと。このパスワードは「最もよく使われている危険なパスワードトップ25リスト」でも3位にランクインしているほど推測が容易な文字配列で、2位の「password」より少しマシなレベルですが、1位は「123456」なので、推測しやすい危険な配列であることに変わりありません。

SHAREitはファイルの転送にあたり、同一Wi-Fiネットワーク内にある2つのデバイスをアドホック通信で接続する際に、専用のWi-Fiホットスポットを構築する機能があります。デバイス間の接続はパスワード不要で自動的に行われますが、無線接続可能なデバイスがあれば、誰でも「12345678」と入力するだけで、SHAREitのWi-Fiホットスポットに接続できてしまうことになります。

この脆弱性を報告しているCore Securityによると、SHAREitで転送されるファイルは暗号化されていないHTTPが使われるため、例えばネットワークトラフィックから転送データをのぞき見たり、転送データを変更することで中間者攻撃が可能であることを意味しているとのこと。以前にもLenovo製PCには「Superfish」と呼ばれるアドウェアがインストールされていたことで公式削除ツールを提供するに至ったわけですが、今回の問題についても、Lenovoは公式見解を求められています。