研究人员在3款远程键盘中发现7个安全漏洞,影响超过200万用户。RemoteKeyboardAPP允许用户将设备无线连接到计算机。Synopsys研究人员在三个远程键盘应用程序中发现了多个安全漏洞。攻击者利用相关漏洞泄露用户键盘输入,实现远程代码执行。这三款受影响的应用在谷歌应用商店的累计下载量已超过200万次。图GooglePlay中的PCKeyboard和LazyMouse受影响的应用分别是PCKeyboard、LazyMouse和Telepad。受影响的版本包括免费和付费版本。研究人员在这三款应用中发现了认证机制薄弱或无认证授权机制、通信不安全等问题。漏洞CVE编号为:CVE-2022-45477:TelepadAPP的安全漏洞,CVSS评分为9.8。攻击者可以利用此漏洞向服务器发送指令,在未经身份验证或授权的情况下,在未经授权的请求下执行任意代码。CVE-2022-45478:TelepadAPP安全漏洞,CVSS评分5.1。攻击者可以利用此漏洞发起中间人攻击并读取所有键盘输入。CVE-2022-45479:PC键盘APP安全漏洞,CVSS评分9.8。攻击者可以利用此漏洞向服务器发送指令,在未经身份验证或授权的情况下,在未经授权的请求下执行任意代码。CVE-2022-45480:PC键盘APP安全漏洞,CVSS评分5.1。攻击者可以利用此漏洞发起中间人攻击并读取所有键盘输入。CVE-2022-45481:懒鼠APP默认配置缺少密码要求导致的安全漏洞,CVSS评分9.8。未经身份验证的攻击者可以利用此漏洞在未经身份验证或授权的情况下执行任意代码。CVE-2022-45482:LazyMouse服务器弱密码要求,未实施尝试限制。攻击者可以利用该漏洞暴力破解PIN码并执行任意命令。CVE-2022-45483:懒鼠APP安全漏洞,CVSS评分5.1。攻击者可以利用此漏洞执行中间人攻击并提取键盘输入。目前,所有这三个应用程序都不再维护或支持。Telepad已从GooglePlay应用商店下架,但仍可从官网下载。继续使用易受攻击的应用程序可能会暴露敏感的用户信息。成功利用该漏洞的远程攻击者可以在用户的??设备上执行任意代码。研究人员建议用户在下载远程键盘应用程序之前先检查用户评级、阅读隐私政策并检查最新版本。如果适用,还应确认数据的数据是否加密。本文翻译自:https://www.bleepingcomputer.com/news/security/critical-rce-bugs-in-android-remote-keyboard-apps-with-2m-installs/
