Три Android apps предназначен для того, чтобы пользователи могли использовать свои телефоны в качестве клавиатура для рабочая станция может раскрывать нажатия клавиш злоумышленникам и позволять им выполнять удаленный код.
По BleepingComputer (открывается в новой вкладке) , аналитики компании Synopsys, занимающейся автоматизацией электронного проектирования (EDA), обнаружили критические уязвимости в «Клавиатура ПК», «Ленивая мышь» и «Telepad» и опубликовали консультативное уведомление (открывается в новой вкладке) в своем блоге по безопасности приложений о семи различных недостатках безопасности.
Бесплатная и платная версии этих apps, оба из которых затронуты, имеют общую базу установок более двух миллионов. Компания Synopsys не получила ответа ни от одного из разработчиков apps в течение 90 дней после первого обращения в августе 2022 года, а теперь рекомендуем удалить apps.
Недостатки безопасности приложения для удаленной клавиатуры Android
«Исследование CyRC выявило слабые или отсутствующие механизмы аутентификации, отсутствующую авторизацию и небезопасные коммуникационные уязвимости в трех apps», — говорится в информационном бюллетене Synopsys.
«Хотя все уязвимости связаны с реализациями аутентификации, авторизации и передачи, механизм отказа каждого приложения отличается».
Речь идет об уязвимостях CVE-2022-45477, CVE-2022-45478, CVE-2022-45479, CVE-2022-45480, CVE-2022-45481, CVE-2022-45482 и CVE-2022-45483. Вместе они разрешают неавторизованным пользователям доступ к appsудаленные серверы и позволяют им совершать атаки «человек посередине» и читать все нажатия клавиш в открытом тексте.
Lazy Mouse, в частности, не требует установки пароля для сервера в приложении и не устанавливает его по умолчанию, что наверняка выявит менее заботящихся о безопасности пользователей и подвергнет их риску раскрытия конфиденциальных данных. персональные данные, которые могут быть использованы против них в случае Identity Theft .
Много безопасной удаленной клавиатуры apps для Android перечислены в магазине Google Play.
Во избежание случайной установки вредоносных программ , убедитесь, что приложение получено из надежного источника, имеет отличные отзывы пользователей, рекомендации деятелей технической отрасли, недавнюю историю обновлений и описание с идеальной орфографией и грамматикой.
Однако пользователи будут по-настоящему защищены от компрометации только в том случае, если они могут гарантировать, что все их нажатия клавиш зашифрованы. Надежное приложение обычно рекламирует эту функцию, но вы также можете найти ее в политике конфиденциальности приложения, обычно доступной на его странице в Play Store.