Три приложения для Android, разработанные для того, чтобы пользователи могли использовать свой телефон в качестве настольной клавиатуры, могут раскрывать нажатия клавиш злоумышленникам и позволять им удаленно выполнять код.
По данным BleepingComputer(opens in a new tab), аналитики компании Synopsys, занимающейся автоматизацией электронного проектирования (EDA), обнаружили критические уязвимости в «Клавиатура ПК», «Ленивая мышь» и «Telepad» и выпустили рекомендательное заключение (оно открыто в новую вкладку). tab) в своем блоге по безопасности приложений о семи отдельных уязвимостях.
Бесплатные и платные версии этих приложений, обе из которых затронуты, имеют общую установленную базу более двух миллионов. Synopsys не получила ответа ни от одного разработчика затронутых приложений в течение 90 дней с момента первого контакта в августе 2022 года и теперь рекомендует удалить приложения.
Уязвимости безопасности приложения Android Remote Keyboard
«Расследование CyRC выявило слабые или отсутствующие механизмы аутентификации, отсутствующую авторизацию и небезопасные коммуникационные уязвимости во всех трех приложениях», — говорится в бюллетене Synopsys.
«Хотя все уязвимости связаны с реализациями аутентификации, авторизации и пересылки, механизм отказа каждого приложения отличается».
Речь идет о уязвимостях CVE-2022-45477, CVE-2022-45478, CVE-2022-45479, CVE-2022-45480, CVE-2022-45481, CVE-2022-45482 и CVE-2022-45483. Вместе они позволяют неавторизованным пользователям получать доступ к удаленным серверам приложений и позволяют им совершать «атаки посредника» и считывать все нажатия клавиш в чистом виде.
Lazy Mouse, в частности, не требует установки пароля для сервера в приложении и не устанавливает его по умолчанию, что наверняка заманит в ловушку менее заботящихся о безопасности пользователей и подвергнет их риску раскрытия конфиденциальной информации. персональные данные, которые могут быть использованы против вас в случае кражи личных данных.
Многие безопасные приложения для удаленной клавиатуры для Android перечислены в магазине Google Play.
Чтобы предотвратить случайную установку вредоносного ПО, убедитесь, что приложение получено из надежного источника, имеет отличные отзывы пользователей, рекомендации от деятелей технологической отрасли, историю обновлений за последние несколько дней и описание с идеальной орфографией и грамматикой.
Однако пользователи будут в полной безопасности только в том случае, если они смогут гарантировать, что все нажатия клавиш будут зашифрованы. Доверенное приложение обычно продвигает эту функцию, но вы также можете найти ее в политике конфиденциальности приложения, обычно доступной на его странице в Play Store.