安卓远程键盘漏洞影响超200万用户 - 嘶吼 RoarTalk – 回归最本质的信息安全,互联网安全新媒体,4hou.com

安卓远程键盘漏洞影响超200万用户

ang010ela 新闻 2022-12-07 12:00:00
收藏

导语:​研究人员在3款远程键盘中发现7个安全漏洞,影响超过200万用户。

研究人员在3款远程键盘中发现7个安全漏洞,影响超过200万用户。

远程键盘APP允许用户将设备通过无线方式连接到计算机。Synopsys研究人员在3款远程键盘APP中发现多个安全漏洞,攻击者利用相关漏洞可以泄露用户键盘输入,并实现远程代码执行。受影响的3款APP在谷歌应用商店累计下载量超过200万次。

PC Keyboard and Lazy Mouse still available on Google Play

图 谷歌play中的PC Keyboard和 Lazy Mouse

受影响的APP分别是PC Keyboard、Lazy Mouse、Telepad,受影响的版本既包括免费版,也包括付费版。研究人员在这3款APP中发现了弱认证机制或没有认证授权机制、不安全的通信等问题。漏洞CVE编号分别为:CVE-2022-45477:是Telepad APP中的安全漏洞,CVSS评分9.8分。攻击者利用该漏洞可以在非授权的请求下发送指令给服务器来执行任意代码,而无需认证或授权。

CVE-2022-45478:是Telepad APP中的安全漏洞,CVSS评分5.1分。攻击者利用该漏洞可以发起中间人攻击,并读取所有键盘输入。

CVE-2022-45479:是PC Keyboard APP中的安全漏洞,CVSS评分9.8分。攻击者利用该漏洞可以在非授权的请求下发送指令给服务器来执行任意代码,而无需认证或授权。

CVE-2022-45480:是PC Keyboard APP中的安全漏洞,CVSS评分5.1分。攻击者利用该漏洞可以发起中间人攻击,并读取所有键盘输入。

CVE-2022-45481:是Lazy Mouse APP默认配置中缺乏密码要求引发的安全漏洞,CVSS评分9.8分。未经认证的攻击者利用在漏洞可以在无需认证或授权的情况下执行任意代码。

CVE-2022-45482:是Lazy Mouse服务器弱密码要求,没有实现尝试次数限制。攻击者利用该漏洞可以暴力破解PIN码,并执行任意命令。

CVE-2022-45483:是Lazy Mouse APP中的安全漏洞,CVSS评分5.1分。攻击者利用该漏洞可以执行中间人攻击,并提取键盘输入。

目前,这三款APP都不再维护或支持。Telepad已从谷歌play应用商店移除,但仍然可以从官网下载。

Telepad is no longer on Google Play, but it's available from the official website

继续使用有漏洞的APP可能会暴露用户敏感信息。远程攻击者成功利用漏洞可以在用户设备上执行任意代码。研究人员建议用户在下载远程键盘APP之前首先检查用户评分,阅读隐私政策,并检查是否是最新版本。如果可以的话,还应确认数据的数据是否是加密的。

本文翻译自:https://www.bleepingcomputer.com/news/security/critical-rce-bugs-in-android-remote-keyboard-apps-with-2m-installs/如若转载,请注明原文地址
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论

 
本站4hou.com,所使用的字体和图片文字等素材部分来源于原作者或互联网共享平台。如使用任何字体和图片文字有侵犯其版权所有方的,嘶吼将配合联系原作者核实,并做出删除处理。
©2022 北京嘶吼文化传媒有限公司 京ICP备16063439号-1 本站由 提供云计算服务