当心——这些 Android 遥控键盘 apps 有严重的安全漏洞

TechRadar
十二月 01
分享讯息

三种 Android apps 旨在让用户将手机用作键盘查阅工作站可能会将按键暴露给威胁行为者并允许他们执行远程代码。

根据 BleepingComputer （在新标签页中打开）, 电子设计自动化 (EDA) 公司 Synopsys 的分析师发现了“PC Keyboard”、“Lazy Mouse”和“Telepad”中的严重漏洞，并发布了一份报告咨询通知（在新标签页中打开）在其应用程序安全博客上介绍了七个不同的安全漏洞。

这些的免费和付费版本 apps，两者都受到影响，安装基数超过 XNUMX 万。 Synopsys 没有收到任何开发者的回应 apps 在 90 年 2022 月首次联系后的 XNUMX 天内表示关注，现在建议卸载 apps.

Android远程键盘应用安全漏洞

“CyRC 研究在这三个方面发现了薄弱或缺失的身份验证机制、缺失授权和不安全的通信漏洞 apps”，Synopsys 的公告中写道。

“虽然漏洞都与认证、授权和传输实现有关，但每个应用程序的失败机制都不同。”

有问题的缺陷是 CVE-2022-45477、CVE-2022-45478、CVE-2022-45479、CVE-2022-45480、CVE-2022-45481、CVE-2022-45482 和 CVE-2022-45483。它们一起允许未经身份验证的用户访问 apps' 远程服务器并允许它们实施“中间人攻击”并以明文形式读取所有击键。

尤其是 Lazy Mouse，它不需要为应用程序内的服务器设置密码，并且默认情况下不设置密码，这肯定会吸引不太注重安全的用户，并使他们面临暴露敏感信息的风险个人数据，在以下情况下可能会被用来对付他们身份盗窃.

大量安全的远程键盘 apps 适用于 Android 的应用已在 Google Play 商店中列出。

以免不小心安装恶意软件，请确保该应用程序作为可靠来源来自那里，具有出色的用户评论、来自科技行业人士的推荐、最近的更新历史记录以及拼写和语法完美的描述。

然而，如果用户能够保证他们的所有击键都被加密，那么他们将永远不会受到妥协。值得信赖的应用通常会宣传此功能，但您也可以在该应用的隐私政策中找到它，通常可在其 Play 商店页面上找到。

来源