В трех Android-приложениях, позволяющих использовать смартфон в качестве беспроводной клавиатуры или мыши, было обнаружено семь опасных уязвимостей. Речь идет о приложениях Lazy Mouse, PC Keyboard и Telepad, которые в сумме имеют более 2 млн загрузок в Google Play.
Бреши в защите были обнаружены еще в августе этого года исследователями из компании Synopsys, которые безуспешно пытались связаться с разработчиками. Однако после нескольких неудачных попыток исследователи просто опубликовали отчет , в котором подробно рассказали про каждую из обнаруженных уязвимостей:
CVE-2022-45477 (9,8 баллов из 10 по шкале CVSS) – уязвимость в Telepad, позволяющая удаленному неавторизованному пользователю отправлять на сервер инструкции для выполнения произвольного кода;
CVE-2022-45478 (5,1 балла из 10 по шкале CVSS) – уязвимость в Telepad, позволяющая злоумышленнику провести атаку “Человек посередине” (MITM) и получить все нажатия клавиш в виде простого текста;
CVE-2022-45479 (9,8 баллов из 10 по шкале CVSS) – уязвимость в PC Keyboard, позволяющая удаленному неавторизованному пользователю отправлять на сервер инструкции для выполнения произвольного кода;
CVE-2022-45480 (5,1 балла из 10 по шкале CVSS) – уязвимость в PC Keyboard, позволяющая злоумышленнику провести атаку “Человек посередине” (MITM) и получить все нажатия клавиш в виде простого текста;
CVE-2022-45481 (9,8 баллов из 10 по шкале CVSS) – отсутствие необходимости устанавливать пароль в стандартной конфигурации Lazy Mouse, что позволяет хакерам выполнять вредоносный код без авторизации;
CVE-2022-45482 (9,8 баллов из 10 по шкале CVSS) – уязвимость в сервере Lazy Mouse, позволяющая с легкостью проводить брутфорс-атаки;
CVE-2022-45483 (5,1 балла из 10 по шкале CVSS) – уязвимость в Lazy Mouse, позволяющая злоумышленнику провести атаку “Человек посередине” (MITM) и получить все нажатия клавиш в виде простого текста;
Стоит отметить, что ни одно из рассмотренных приложений не получало обновления более двух лет, поэтому специалисты рекомендуют пользователям как можно скорее удалить эти приложения.