Essere il maggiore produttore mondiale di computer comporta grandi responsabilità nei confronti degli utenti, soprattutto quando viene scoperto un problema di sicurezza nei software preinstallati. Fortunatamente Lenovo ha imparato dai suoi errori e ha rilasciato un aggiornamento che corregge diverse vulnerabilità in SHAREit, l’applicazione di file sharing presente su PC, notebook, smartphone e tablet Android.
SHAREit consente la condivisione dei file (documenti, foto, musica e video) tra due smartphone, da smartphone a PC, da PC a smartphone e da PC a tablet, senza nessun limite di numero e dimensione. È possibile anche cercare file sul PC dal dispositivo mobile, controllare una presentazione PowerPoint ed effettuare lo streaming su PC dei video conservati sullo smartphone. Nelle versioni 2.5.1.1 per Windows e 3.0.18 per Android sono state scoperte quattro vulnerabilità che potrebbero essere sfruttate per accedere ai file condivisi.
I bug più gravi sono presenti nella versione Windows. SHAREit imposta un hotspot WiFi per la ricezione dei file, ma la password (12345678) è hard-coded e non può essere cambiata, consentendo a tutti di accedere facilmente alla stessa rete wireless. La trasmissione dei file, inoltre, avviene senza crittografia. Un malintenzionato potrebbe intercettare il traffico di rete e modificare i contenuti mediante un attacco man-in-the-middle. Su Android, invece, l’hotspot WiFi è addirittura senza password.
Le nuove versioni di SHAREit (3.2.0 per Windows e 3.5.8 per Android) permettono ora di scegliere il “secure mode“. Gli utenti devono creare una password prima della condivisione dei file, che verranno trasmessi in forma cifrata con AES a 128 bit. Purtroppo, questa modalità non è obbligatoria: Lenovo offre anche un “easy mode” che, probabilmente, contiene ancora le vulnerabilità.