Lenovo는 파일 공유 백도어 결함에서 세 번째로 ‘최악의 암호’를 사용했습니다.

Lenovo 제품에는 여러 가지 심각한 보안 취약점이 패치되어 있으며, 그 중 하나는 하드 코드 된 암호를 포함하고 있으며이 암호는 세 번째로 ‘최악의 암호’라는 제목을 받았습니다.

ransomware 공격의 비용 : 올해 10 억 달러, HTTP 연결을 안전하지 않은 것으로 표시하는 Chrome, Hyperledger 프로젝트가 갱스 터처럼 성장하고있는 지금, 이제는 경로에서 무엇이든 파괴하는 USB 스틱을 구입할 수 있습니다

연구원은 정보 유출, 보안 프로토콜 우회 및 MITM (man-in-the-middle) 공격으로 이어질 수있는 Lenovo ShareIT의 네 가지 취약점을 공개했습니다. 현재 패치가 적용되었지만 Lenovo의 기본 보안 원칙에 대한 이해는 위험에 처해 있습니다. “12345678”로 설정된 하드 코드 암호는 핫스팟 Wi-Fi 악용의 문을 열었습니다.

Core Security가 게시 한 권고안에서 네 가지 취약점은 하드 코드 된 암호의 사용, 정보 노출, 민감한 데이터에 대한 암호화 관행 누락 및 호스팅 된 파일과 폴더 간의 콘텐츠 공유를 위해 고안된 ShareIT의 승인 요구 사항 누락과 관련됩니다 스마트 폰, 태블릿 및 PC

아래 취약점은 최신 버전 인 Android 3.0.18 및 Windows 2.5.1.1 용 Lenovo ShareIT에 영향을 미칩니다. 이 보안 회사는 다른 버전이 영향을받을 수 있지만 테스트를 거치지 않았다고 전했다.

첫 번째 취약점 (CVE-2016-1491)은 아마도 당신이 당신의 갑판에 머리를 대고 싶어하는 것일 것입니다. 핵심 보안 설명

“Windows 용 Lenovo ShareIt이 파일을 수신하도록 구성된 경우 Wi-Fi HotSpot은 쉬운 암호로 설정됩니다 (12345678). Wi-Fi 네트워크 카드가있는 시스템은 해당 암호를 사용하여 해당 핫 스폿에 연결할 수 있습니다. 같은. ”

SplashData에 따르면이 하드 코딩 된 암호는 2015 년의 최악의 암호 인 “123456”과 유사하며 보안을 유지하기 위해 가장 보편적으로 사용되는 세 번째 암호 인 암호와 일치합니다 “12345678”입니다. (관심있는 사람들을 위해 두 번째로 최악의 것은 “암호”자체입니다.)

Lenovo는 정말 잘 알아야합니다. 소프트웨어 내에서 그러한 게으른 기본 암호를 사용함으로써 – 특히 하드 코딩되고 일반 사용자가 변경할 수없는 경우 – 회사는 고객과 해당 데이터를 위험에 빠뜨리고 있습니다.

두 번째 취약점 (CVE-2016-1490)은 Lenovo ShareIt 내에서 파일 시스템을 원격으로 탐색하는 것과 관련이 있습니다. Wi-Fi 네트워크가 활성화되어 기본 12345678 암호를 사용하여 연결되면 파일을 탐색 할 수 있지만 단순한 HTTP 요청을 통해 다운로드 할 수는 없으며 공격자가 원하는대로 데이터를 방황 할 수있는 옵션을 제공합니다.

포트 페일 (Port Fail) VPN 보안 결함으로 실제 IP 주소가 노출되고, 딜러들은 폭스 바겐에 배기 가스 스캔들에 대한 집단 소송을 제기하고 버그 방금 : 연구원에게 현금을 제공하는 회사는? 이제 뭐?

세 번째 결함 인 CVE-2016-1489는 Windows와 Android 컴퓨터간에 전송 된 파일이 일반 텍스트로 이동하고 모든 형식의 암호화가 없음을 나타냅니다. 이는 공격자가 전송되는 데이터 패킷을 스니핑하고 데이터를 스누핑하며 MITM 공격을 수행하여 맬웨어 감염 및 파일 변조를 일으킬 수있는 완벽한 기회입니다.

마지막으로 네 번째 버그 인 CVE-2016-1492가 ShareIT의 파일 전송 시스템에서 발견되었습니다. 사용자는 암호없이 Wi-Fi HotSpots를 열 수 있으므로 공격자는 HotSpot에 연결하여 Windows와 Android 장치간에 전송되는 정보를 캡처 할 수 있습니다.

이 취약성은 2015 년 10 월 Core Security의 Ivan Huertas가 중국 PC 제조사에 개인적으로 공개했다. 결함을 수정하기 위해 3 개월 이상을 소비 했음에도 불구하고 Lenovo는 Lenovo에서 업데이트를 공개하여 공개적으로 공개했다.

읽기 : 탑픽

혁신, M2M 시장 침체 브라질, 보안, FBI가 Crackas 회원을 체포하여 미국 공무원 해킹에 대한 태도, 보안, WordPress는 사용자가 중요한 보안 구멍을 고치기 위해 지금 업데이트하도록 촉구 보안, 백악관, 정보 보안 담당자

? M2M 시장은 브라질에서 다시 반송

FBI, 미국 정부 관료 해킹에 대한 태도로 Crackas 회원을 체포

WordPress는 사용자가 중요한 보안 취약점을 수정하기 위해 지금 업데이트하도록 촉구합니다.

백악관, 연방 정보 보안 책임자 (Federal Chief Information Security Officer) 선임