Tiga Android apps dirancang untuk memungkinkan pengguna menggunakan ponsel mereka sebagai Keyboard untuk workstation mungkin mengekspos penekanan tombol kepada pelaku ancaman dan memungkinkan mereka mengeksekusi kode jarak jauh.
Menurut BleepingComputer (terbuka di tab baru) , analis di perusahaan otomasi desain elektronik (EDA) Synopsys telah menemukan kerentanan kritis di "PC Keyboard", "Lazy Mouse", dan "Telepad", dan menerbitkan sebuah pemberitahuan nasihat (terbuka di tab baru) di Blog Keamanan Aplikasi tentang tujuh kelemahan keamanan yang berbeda.
Versi gratis dan berbayar dari ini apps, keduanya terpengaruh, memiliki basis penginstalan gabungan lebih dari dua juta. Synopsys tidak menerima tanggapan dari pengembang mana pun apps bersangkutan dalam jangka waktu 90 hari setelah pertama kali melakukan kontak pada Agustus 2022, dan sekarang merekomendasikan untuk mencopot pemasangan apps.
Kelemahan keamanan aplikasi keyboard jarak jauh Android
“Penelitian CyRC menemukan mekanisme autentikasi yang lemah atau hilang, otorisasi yang hilang, dan kerentanan komunikasi yang tidak aman di tiga apps, ”baca saran Synopsys.
“Meskipun semua kerentanan terkait dengan implementasi autentikasi, otorisasi, dan transmisi, mekanisme kegagalan setiap aplikasi berbeda.”
Cacat yang dimaksud adalah CVE-2022-45477, CVE-2022-45478, CVE-2022-45479, CVE-2022-45480, CVE-2022-45481, CVE-2022-45482 dan CVE-2022-45483. Bersama-sama, mereka mengizinkan akses pengguna yang tidak diautentikasi ke apps' server jarak jauh dan izinkan mereka untuk melakukan "man in the middle attacks" dan membaca semua penekanan tombol dalam teks biasa.
Lazy Mouse, khususnya, tidak memerlukan kata sandi untuk disetel untuk server di dalam aplikasi, dan tidak disetel secara default, yang pasti akan menangkap pengguna yang kurang sadar akan keamanan dan menempatkan mereka pada risiko mengekspos sensitif data pribadi, yang dapat digunakan melawan mereka dalam kasus pencurian identitas .
Banyak keyboard jarak jauh yang aman apps untuk Android terdaftar di Google Play Store.
Untuk menghindari pemasangan secara tidak sengaja malware , pastikan aplikasi tersebut berasal dari sana sebagai sumber tepercaya, memiliki ulasan pengguna yang bagus, rekomendasi dari tokoh-tokoh di industri teknologi, riwayat pembaruan terkini, dan deskripsi dengan ejaan dan tata bahasa yang sempurna.
Namun, pengguna hanya akan benar-benar aman dari penyusupan jika mereka dapat menjamin bahwa semua penekanan tombol mereka dienkripsi. Aplikasi tepercaya biasanya akan mempromosikan fitur ini, tetapi Anda juga dapat menemukannya di kebijakan privasi aplikasi, biasanya tersedia di halaman Play Store-nya.