Una utilidad de intercambio de archivos para dispositivos Android y computadoras Windows, distribuida por Lenovo, fue examinada por investigadores de seguridad quienes encontraron múltiples vulnerabilidades fácilmente explotables.

CoreSecurity descubrió que la herramienta SHAREit de Lenovo para Windows crea un hostpot Wi-Fi con la contraseña 12345678, permitiendo a cualquiera conectarse al sistema corriendo SHAREit.

Sobre dispositivos Android, SHAREit configura un hostpot Wi-Fi abierto sin ninguna contraseña en absoluto, con el fin de recibir archivos. Esto podría permitir a atacantes conectarse al dispositivo Android sin autenticación y capturar la información transferida, dijo CoreSecurity.

Los investigadores también notaron que los archivos fueron transferidos usando texto plano con el protocolo de transporte de hipertexto (http) sin cifrar; esto podría permitir a los atacantes interceptar y modificar datos en escenarios man-in-the-middle (MitM) sobre la misma red.

También fue posible navegar, pero no descargar, los sistemas de archivos sobre computadoras Windows con SHAREit activo, usando una simple petición para un servidor web y para conectarse con la contraseña predeterminada 12345678.

Core Security alertó a Lenovo de las vulnerabilidades en SHAREit el 29 de octubre del año pasado. Lenovo emitió versiones parcheadas de SHAREit en estos días.