Новости 2 млн пользователей Android-приложений для удаленных клавиатур в опасности

[NewsMaker]

Исследователи нашли семь опасных уязвимостей, позволяющих перехватывать нажатия клавиш и выполнять произвольный код.​

---

---

В трех Android-приложениях, позволяющих использовать смартфон в качестве беспроводной клавиатуры или мыши, было обнаружено семь опасных уязвимостей. Речь идет о приложениях Lazy Mouse, PC Keyboard и Telepad, которые в сумме имеют более 2 млн загрузок в Google Play.

Бреши в защите были обнаружены еще в августе этого года исследователями из компании Synopsys, которые безуспешно пытались связаться с разработчиками. Однако после нескольких неудачных попыток исследователи просто опубликовали Для просмотра ссылки Войди или Зарегистрируйся , в котором подробно рассказали про каждую из обнаруженных уязвимостей:

• CVE-2022-45477 (9,8 баллов из 10 по шкале CVSS) – уязвимость в Telepad, позволяющая удаленному неавторизованному пользователю отправлять на сервер инструкции для выполнения произвольного кода;
  
• CVE-2022-45478 (5,1 балла из 10 по шкале CVSS) – уязвимость в Telepad, позволяющая злоумышленнику провести атаку «Человек посередине» (MITM) и получить все нажатия клавиш в виде простого текста;
  
• CVE-2022-45479 (9,8 баллов из 10 по шкале CVSS) – уязвимость в PC Keyboard, позволяющая удаленному неавторизованному пользователю отправлять на сервер инструкции для выполнения произвольного кода;
  
• CVE-2022-45480 (5,1 балла из 10 по шкале CVSS) – уязвимость в PC Keyboard, позволяющая злоумышленнику провести атаку «Человек посередине» (MITM) и получить все нажатия клавиш в виде простого текста;
  
• CVE-2022-45481 (9,8 баллов из 10 по шкале CVSS) – отсутствие необходимости устанавливать пароль в стандартной конфигурации Lazy Mouse, что позволяет хакерам выполнять вредоносный код без авторизации;
  
• CVE-2022-45482 (9,8 баллов из 10 по шкале CVSS) – уязвимость в сервере Lazy Mouse, позволяющая с легкостью проводить брутфорс-атаки;
  
• CVE-2022-45483 (5,1 балла из 10 по шкале CVSS) – уязвимость в Lazy Mouse, позволяющая злоумышленнику провести атаку «Человек посередине» (MITM) и получить все нажатия клавиш в виде простого текста;
  

Стоит отметить, что ни одно из рассмотренных приложений не получало обновления более двух лет, поэтому специалисты рекомендуют пользователям как можно скорее удалить эти приложения.