Tre Android apps utformad för att låta användare använda sina telefoner som en tangentbord för en arbetsstation kan utsätta tangenttryckningar för hotaktörer och tillåta dem att exekvera fjärrkod.
Enligt BleepingComputer (öppnas i ny flik) , analytiker på Electronic Design Automation (EDA)-företaget Synopsys har hittat kritiska sårbarheter i "PC Keyboard", "Lazy Mouse" och "Telepad" och publicerat en rådgivande meddelande (öppnas i ny flik) på sin Application Security Blog angående sju distinkta säkerhetsbrister.
De gratis och betalda versionerna av dessa apps, som båda är berörda, har en sammanlagd installationsbas på över två miljoner. Synopsys fick inget svar från några utvecklare av apps berörda inom en 90-dagarsperiod efter första kontakten i augusti 2022, och rekommenderar nu att du avinstallerar apps.
Android fjärrtangentbord app säkerhetsbrister
"CyRC-forskning avslöjade svaga eller saknade autentiseringsmekanismer, saknad auktorisering och osäkra kommunikationssårbarheter i de tre apps,” lyder Synopsys rådgivande.
"Även om sårbarheterna alla är relaterade till autentiserings-, auktoriserings- och överföringsimplementeringarna är varje applikations felmekanism annorlunda."
De aktuella bristerna är CVE-2022-45477, CVE-2022-45478, CVE-2022-45479, CVE-2022-45480, CVE-2022-45481, CVE-2022-45482 och CVE-2022. Tillsammans tillåter de oautentiserade användare åtkomst till apps' fjärrservrar och tillåta dem att begå "man in the middle attacker" och läsa alla tangenttryckningar i klartext.
Lazy Mouse, i synnerhet, kräver inte att ett lösenord ställs in för servern i appen, och ställer inte in ett som standard, vilket säkerligen kommer att fånga upp mindre säkerhetsmedvetna användare och utsätta dem för att exponera känsliga personuppgifter, som kan användas mot dem i ett fall av identitetsstöld .
Gott om säkra fjärrtangentbord apps för Android finns listade i Google Play Butik.
För att undvika oavsiktlig installation malware , se till att appen kommer därifrån som en pålitlig källa, har bra användarrecensioner, rekommendationer från siffror inom teknikbranschen, en färsk uppdateringshistorik och en beskrivning med perfekt stavning och grammatik.
Användare kommer dock bara någonsin att vara riktigt säkra från kompromisser om de kan garantera att alla deras tangenttryckningar är krypterade. En pålitlig app kommer vanligtvis att presentera den här funktionen, men du kan också hitta den i appens sekretesspolicy, vanligtvis tillgänglig på dess Play Butik-sida.