研究人员在3款远程键盘中发现7个安全漏洞,影响超过200万用户。
远程键盘APP允许用户将设备通过无线方式连接到计算机。Synopsys研究人员在3款远程键盘APP中发现多个安全漏洞,攻击者利用相关漏洞可以泄露用户键盘输入,并实现远程代码执行。受影响的3款APP在谷歌应用商店累计下载量超过200万次。
图 谷歌play中的PC Keyboard和 Lazy Mouse
受影响的APP分别是PC Keyboard、Lazy Mouse、Telepad,受影响的版本既包括免费版,也包括付费版。研究人员在这3款APP中发现了弱认证机制或没有认证授权机制、不安全的通信等问题。漏洞CVE编号分别为:CVE-2022-45477:是Telepad APP中的安全漏洞,CVSS评分9.8分。攻击者利用该漏洞可以在非授权的请求下发送指令给服务器来执行任意代码,而无需认证或授权。
- CVE-2022-45478:是Telepad APP中的安全漏洞,CVSS评分5.1分。攻击者利用该漏洞可以发起中间人攻击,并读取所有键盘输入。
- CVE-2022-45479:是PC Keyboard APP中的安全漏洞,CVSS评分9.8分。攻击者利用该漏洞可以在非授权的请求下发送指令给服务器来执行任意代码,而无需认证或授权。
- CVE-2022-45480:是PC Keyboard APP中的安全漏洞,CVSS评分5.1分。攻击者利用该漏洞可以发起中间人攻击,并读取所有键盘输入。
- CVE-2022-45481:是Lazy Mouse APP默认配置中缺乏密码要求引发的安全漏洞,CVSS评分9.8分。未经认证的攻击者利用在漏洞可以在无需认证或授权的情况下执行任意代码。
- CVE-2022-45482:是Lazy Mouse服务器弱密码要求,没有实现尝试次数限制。攻击者利用该漏洞可以暴力破解PIN码,并执行任意命令。
- CVE-2022-45483:是Lazy Mouse APP中的安全漏洞,CVSS评分5.1分。攻击者利用该漏洞可以执行中间人攻击,并提取键盘输入。
目前,这三款APP都不再维护或支持。Telepad已从谷歌play应用商店移除,但仍然可以从官网下载。
继续使用有漏洞的APP可能会暴露用户敏感信息。远程攻击者成功利用漏洞可以在用户设备上执行任意代码。研究人员建议用户在下载远程键盘APP之前首先检查用户评分,阅读隐私政策,并检查是否是最新版本。如果可以的话,还应确认数据的数据是否是加密的。
本文翻译自:https://www.bleepingcomputer.com/news/security/critical-rce-bugs-in-android-remote-keyboard-apps-with-2m-installs/
