Taloussanomat

Lenovolla uskomaton salasanamoka: 12345...

Kuva: Pawel Kopczynski

27.1.2016 12:01 Lenovon ohjelmisto oli varustettu lukitulla salasanalla, joka lukeutuu huonoimpien mahdollisten salasanojen kärkijoukkoon.

Lenovo aloittaa tietoturvavuotensa väärällä jalalla kompuroituaan useamman kerran viime vuonna. Kiinalainen pc-valmistaja paikkasi neljä haavoittuvuutta ShareIT-ohjelmistostaan, jota käytetään tiedostojenjakoon älypuhelinten, tablettien ja pc:iden kesken Windowsissa ja Androidissa.

Ongelmista raportoi tietoturvayhtiö Core Security, ja varsinkin yksi haavoittuvuus kiinnittää huomion olemalla yksinkertaisesti täysin turha. Kun Windowsin ShareIT on asetettu vastaanottamaan tiedostoja, ohjelma luo wlan-yhteyspisteen helpolla salasanalla 12345678. Jokainen laite, jossa on wlan-kortti, voi kytkeytyä yhteyspisteeseen tällä salasanalla.

Paikoitellen äärihelpot salasanat ovat peräti toivottuja, kunhan ne ovat vaihdettavissa ensimmäisellä käyttökerralla. Näin on esimerkiksi reitittimien tapauksessa, kun käyttäjän on päästävä muuttamaan asetuksia laitteen kytkettyään.

Mutta Dellin tapauksessa salasana oli lukittu, eikä sitä ollut mahdollista vaihtaa. Siksi sen olisi pitänyt olla monimutkainen ja ehdottomasti sellainen, joka ei löydy miltään tunnettujen salasanojen listalta. 12345678 on lähes yhtä turvallinen, kuin jos salasanaa ei olisi lainkaan.

Core Securityn mukaan haavoittuvuuksia voidaan käyttää etäältä hyväksi ja seurauksena voi olla esimerkiksi tietojen vuotaminen.

Sovelluksen Windows-version toinen haavoittuvuus sallii ulkopuolisille tiedostojen katselun wlan-verkon ollessa päällä. Sekä Windowsia että Androidia koskee ongelma, jossa ShareIT siirtää tiedostoja laitteiden välillä ilman salausta. Tiedostoja voidaan varastaa tai niitä voidaan muokata haittakoodin ajamiseksi uhrin laitteessa.

Sovelluksen Android-versiossa on lisäksi aukko, jonka myötä wlan-yhteyspiste luodaan kokonaan ilman salasanaa. Hyökkääjä voisi kytkeytyä yhteyspisteeseen ja varastaa laitteiden välillä jaettavat tiedot.

Lenovo on paikannut ohjelmiston. Haavoittuvuudet todettiin ShareIT:n Android-versiossa 3.0.18_ww ja Windows-versiossa 2.5.1.1. Core Securityn mukaan muutkin versiot saattavat olla haavoittuvia, mutta niitä ei testattu.

Viime vuonna Lenovoa läksytettiin eri otteisiin ohjelmistoista, jotka oli esiasennettu tietokoneisiin ja, jotka laittoivat käyttäjän vaaraan. Viimeksi joulukuussa Lenovon työasemille tarkoitetusta Lenovo Solution Center -ohjelmistosta löytyi haavoittuvuuksia, joiden hyväksikäyttöön tarkoitettu lähdekoodi oli julkisesti saatavilla.

Jutun kirjoitti: Digitoday

Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.

Kommentit (10)

Sivut: 1
EdellinenSeuraava

Anonyymi
Mutta Dellin tapauksessa salasana oli lukittu, eikä sitä ollut mahdollista vaihtaa.


Dell?
Anonyymi: Bell-Dell 27.1.2016 12:34

Anonyymi
Siis Dell vai Lenovo? Nyt tulee haste jommalta kummalta :)
Anonyymi: korjatkaakorjatkaa 27.1.2016 12:59

Anonyymi
Onhan se mukavaa, että suunnilleen kaikki kaupoissa myytävät modeemit suunnitellaan Kaukoidässä. Näiden vekottimien suunnittelussa tietoturvallisuus on low priority.
Anonyymi: reikäjuusto 27.1.2016 13:24

Anonyymi
Nyt salasana on 87654321 ... siinä korjaus
Anonyymi: Putkimies 27.1.2016 14:00

Anonyymi
Niin, mikä tietoturva?????????

Koettakaa nyt hyvät ihmiset ymmärtää, että mitään maagista teidät pelastavaa tietoturvaa ei ole eikä tule.

Voitte ostaa sielunne rauhoittamiseksi pörssifirman mieheltä vaikka kuun ja tähdet taivaalta, mutta mitään tietoturvaa ette saa missään ettekä koskaan.

Siirtykää kirjoitukoneisiin ja manuaaliarkistoon. Siinä se tietoturva teille. Eikä missään muualla. Lopettakaa lapsellinen tietoturvasta sönköttäminen.


Tietoturvaa voi verrata oven lukitsemiseen.
On olemassa hyviä ja huonoja lukkoja.
Idän ihmeiden lukot voi kuvaannollisesti vääntää auki ruuvimeisselillä.
Anonyymi: reikäjuusto 27.1.2016 14:29

Anonyymi
Digitodayltä uskomaton uutismoka: Lenovo vaihtui Delliksi. Ei korjausta, ei pahoittelua.
Anonyymi: Oicolucija 27.1.2016 14:58

Rekisteröitynyt käyttäjä
Siis Dell vai Lenovo? Nyt tulee haste jommalta kummalta :)

Uutisen mukaan kummaltakin. Dellillä on salasana lukittu, Lenovolla sen voi vaihtaa, mutta kummassakin on tuo 12345678.

Digitodayltä uskomaton uutismoka: Lenovo vaihtui Delliksi. Ei korjausta, ei pahoittelua.

Digitoday kertoi asian ihan hyvin.
Sekä Lenovolla, että Dellillä on tuo 12345678, mutta Dellillä se salasana on lukittu.
Rekisteröitynyt käyttäjä: Faktamies 27.1.2016 19:07

Anonyymi
Hienoa, että voi turvallisin mielin täällä lännen ihmemaassa tietotekniikkaansa käyttää, kun idän ruudinkeksijät pitävät rattaat pyörimässä. Harmi sinällään, ettei vastaavantasoista huippuosaamista ainakaan Suomesta löydy. Toisaalta, onhan se parempi jättää ajattelu niille, jotka sen tämänkaltaisten meriittien perusteella parhaiten taitavat.

Vakavoitukaamme. Kiinalaiset Lenovot, Huaweit ja Asukset ovat kaikki samanlaisia reikäjuustovalmistajia, joiden tuotteista ei yleisellä tasolla ole kuin harmia. Asiallisia laitteita ja ohjelmistoja tuntuu löytyvän ainoastaan Yhdysvalloista ja Japanista. Tässä olisi Eurooppalaisille aika näyttää kyntensä ja todistaa muulle maailmalle se ylivertaisuus, jota varmana totuutena toitotetaan.

Ei ole olemassa nykypäivänä montaakaan laajamittaisesti menestynyttä eurooppalaista kuluttajaelektroniikan valmistajaa. Kaikki muistitikuista ja reitittimistä alkaen tulee kaukoidästä ja ovat kaukoitäläistä taikka Yhdysvaltalaista suunnittelutyötä. Hävetkäämme tätä kollektiivisesti, ymmärtäkäämme tämä osoituksena Eurooppalaisesta saamattomuudesta.
Anonyymi: saamattomienmaanosa 27.1.2016 21:24

Anonyymi
Olen aina ollut sitä mieltä, että dellilstä ei ole mihinkään. Blame on
Anonyymi: Lenovofani 28.1.2016 13:24

Rekisteröitynyt käyttäjä
Tästä hyvästä vois antaa jonkun naamapalmupalkinnon Lenovolle *naamapalmu*
Rekisteröitynyt käyttäjä: Lauri 28.1.2016 22:00
Sivut: 1
EdellinenSeuraava
Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit.
Lue koko keskusteluetiketti
Varaa oma nimimerkkisi Taloussanomien uutiskommentointiin rekisteröitymällä käyttäjäksi tai kirjaudu sisään.

Rekisteröityminen ja nimimerkin varaus eivät ole pakollisia.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.
Olet kirjautunut sisään, muttet ole vielä valinnut omaa, muille käyttäjille näkyvää nimimerkkiäsi. Varaa nimimerkki omaksesi kirjoittamalla se nimimerkki-kenttään.

Varauksen jälkeen muut eivät voi käyttää nimimerkkiäsi ja se näkyy automaattisesti kaikissa kirjoittamissasi viesteissä.

Huomioithan, ettei nimimerkkiä ei voi muuttaa jälkikäteen.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.

Uusimmat uutiset

Digiyesterday

2011

Viisi vuotta sitten

Korkein oikeus ampui alas kohutun videopelilain

28.06.2011 Vuosia sitten säädetty videopelilaki kaatui lopullisesti Yhdysvaltain korkeimmassa oikeudessa. Viihdeala riemuitsee.


2013

Kolme vuotta sitten

FBI sai helpon Wikileaks-vakoojan islantilaisnuoresta

28.06.2013 Wikileaksin vapaaehtoinen työntekijä, nuori islantilainen koulupoika tarjoutui vakoilemaan vuotosivusto Wikileaksia FBI:lle. Siggi ryhtyi puuhaan seikkailunhalusta, kertoo yhdysvaltalainen Wired-lehti.

.