安卓远程键盘漏洞影响超200万用户

研究人员在3款远程键盘中发现7个安全漏洞，影响超过200万用户。

远程键盘APP允许用户将设备通过无线方式连接到计算机。Synopsys研究人员在3款远程键盘APP中发现多个安全漏洞，攻击者利用相关漏洞可以泄露用户键盘输入，并实现远程代码执行。受影响的3款APP在谷歌应用商店累计下载量超过200万次。

图 谷歌play中的PC Keyboard和 Lazy Mouse

受影响的APP分别是PC Keyboard、Lazy Mouse、Telepad，受影响的版本既包括免费版，也包括付费版。研究人员在这3款APP中发现了弱认证机制或没有认证授权机制、不安全的通信等问题。漏洞CVE编号分别为：CVE-2022-45477：是Telepad APP中的安全漏洞，CVSS评分9.8分。攻击者利用该漏洞可以在非授权的请求下发送指令给服务器来执行任意代码，而无需认证或授权。

• CVE-2022-45478：是Telepad APP中的安全漏洞，CVSS评分5.1分。攻击者利用该漏洞可以发起中间人攻击，并读取所有键盘输入。
• CVE-2022-45479：是PC Keyboard APP中的安全漏洞，CVSS评分9.8分。攻击者利用该漏洞可以在非授权的请求下发送指令给服务器来执行任意代码，而无需认证或授权。
• CVE-2022-45480：是PC Keyboard APP中的安全漏洞，CVSS评分5.1分。攻击者利用该漏洞可以发起中间人攻击，并读取所有键盘输入。
• CVE-2022-45481：是Lazy Mouse APP默认配置中缺乏密码要求引发的安全漏洞，CVSS评分9.8分。未经认证的攻击者利用在漏洞可以在无需认证或授权的情况下执行任意代码。
• CVE-2022-45482：是Lazy Mouse服务器弱密码要求，没有实现尝试次数限制。攻击者利用该漏洞可以暴力破解PIN码，并执行任意命令。
• CVE-2022-45483：是Lazy Mouse APP中的安全漏洞，CVSS评分5.1分。攻击者利用该漏洞可以执行中间人攻击，并提取键盘输入。

目前，这三款APP都不再维护或支持。Telepad已从谷歌play应用商店移除，但仍然可以从官网下载。

继续使用有漏洞的APP可能会暴露用户敏感信息。远程攻击者成功利用漏洞可以在用户设备上执行任意代码。研究人员建议用户在下载远程键盘APP之前首先检查用户评分，阅读隐私政策，并检查是否是最新版本。如果可以的话，还应确认数据的数据是否是加密的。

本文翻译自：https://www.bleepingcomputer.com/news/security/critical-rce-bugs-in-android-remote-keyboard-apps-with-2m-installs/

当前题目：安卓远程键盘漏洞影响超200万用户
URL分享：http://www.shufengxianlan.com/qtweb/news42/428292.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联