最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

安装量为200万的Android远程键盘应用程序中的关键RCE错误

网络安全 快米云 来源:快米云 49浏览

安装量为 200 万的 Android 远程键盘应用程序中的关键 RCE 错误

允许用户将设备用作计算机远程键盘的三个 Android 应用程序存在严重漏洞,可能会暴露按键操作并启用远程代码执行。

这些应用程序是 PC Keyboard、Lazy Mouse 和 Telepad,以及它们易受攻击的版本(免费和付费),在 Google Play 中它们的总安装量超过 200 万。

PC Keyboard 和 Lazy Mouse 仍可在 Google Play 上购买
Google Play 上的 PC 键盘和懒惰鼠标(news.zzqidc.com)

Synopsys 的分析师发现了这些关键弱点,他们于 2022 年 8 月将他们的发现告知了应用程序开发人员。

研究人员在 2022 年 10 月再次尝试联系软件供应商但未得到回复后,于今天发布了一份安全公告。

“CyRC 研究发现这三个应用程序中的身份验证机制薄弱或缺失、授权缺失以及不安全的通信漏洞,”公告中写道

“虽然漏洞都与身份验证、授权和传输实现有关,但每个应用程序的失败机制都不同” – Synopsys

影响每个应用程序的缺陷如下:

  • CVE-2022-45477(9.8 严重等级)——Telepad 中的缺陷,允许未经身份验证的远程用户向服务器发送指令以执行任意代码,而无需授权或身份验证。
  • CVE-2022-45478(5.1 严重等级)——Telepad 缺陷允许攻击者执行中间人 (MITM) 攻击并以明文形式读取所有按键。
  • CVE-2022-45479(9.8 严重等级)- PC 键盘流允许远程未经身份验证的用户向服务器发送指令以执行任意代码,而无需授权或身份验证。
  • CVE-2022-45480(5.1 严重等级)- PC 键盘缺陷允许攻击者执行中间人 (MITM) 攻击并以明文形式读取所有按键。
  • CVE-2022-45481(9.8 严重等级)- Lazy Mouse 默认配置中缺少密码要求,允许未经身份验证的远程用户在无需授权或身份验证的情况下执行任意代码。
  • CVE-2022-45482(9.8 严重等级)——懒惰鼠标服务器弱点执行弱密码要求,同时不实施速率限制,使未经身份验证的攻击者能够暴力破解 PIN 并执行任意命令。
  • CVE-2022-45483(5.1 严重等级)- 懒惰鼠标缺陷允许攻击者执行中间人 (MITM) 攻击并以明文形式读取所有按键。

这三个应用程序不再由其开发人员维护或支持,因此它们符合定义“废弃软件”的标准。

Telepad 不再在 Google Play 上架,但可以从官方网站获得
Telepad 不再在 Google Play 上架,但可以从官方网站下载

继续使用这些应用程序会带来暴露敏感信息的重大风险。成功利用该漏洞还可能使远程攻击者能够在设备上运行任意代码。

如果您正在寻找远程键盘应用程序,Google Play 上有几个积极维护的项目,其中许多项目都获得了积极的用户评价。

在安装替代应用程序之前,请确保检查用户评论,仔细阅读项目的隐私政策,并检查最后更新的日期。如果可能,用户应尝试确认传输中的数据已加密。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 安装量为200万的Android远程键盘应用程序中的关键RCE错误