Nhiều lỗ hổng chưa được vá đã được phát hiện trong ba ứng dụng Android cho phép sử dụng điện thoại thông minh làm bàn phím và chuột từ xa.
Các ứng dụng được đề cập là Chuột lười, Bàn phím PC và Bàn di chuột, đã được tải xuống tích lũy hơn hai triệu lần từ Cửa hàng Google Play. Telepad không còn có sẵn thông qua chợ ứng dụng nhưng có thể tải xuống từ trang web của nó.
Chuột Lười (com.ahmedaay.lazymouse2 và com.ahmedaay.lazymousepro) Bàn phím PC (com.beapps.pckeyboard) Bàn phím điện thoại (com.pinchtools.telepad)
Mặc dù các ứng dụng này hoạt động bằng cách kết nối với máy chủ trên máy tính để bàn và truyền tới máy chủ đó các sự kiện về chuột và bàn phím, Trung tâm nghiên cứu an ninh mạng Synopsys (CyRC) đã tìm thấy tới 7 lỗi liên quan đến xác thực yếu hoặc thiếu, thiếu ủy quyền và giao tiếp không an toàn.
Tóm lại, các sự cố (từ CVE-2022-45477 đến CVE-2022-45483) có thể bị kẻ xấu khai thác để thực thi các lệnh tùy ý mà không cần xác thực hoặc thu thập thông tin nhạy cảm bằng cách hiển thị tổ hợp phím của người dùng trong văn bản rõ ràng.
Máy chủ Chuột Lười còn gặp phải chính sách mật khẩu yếu và không triển khai giới hạn tốc độ, cho phép những kẻ tấn công từ xa không được xác thực có thể cưỡng bức mã PIN một cách tầm thường và thực thi các lệnh lừa đảo.
Điều đáng chú ý là không có ứng dụng nào nhận được bất kỳ bản cập nhật nào trong hơn hai năm, khiến người dùng bắt buộc phải xóa ứng dụng ngay lập tức.
Nhà nghiên cứu bảo mật Mohammed Alshehri của Synopsys cho biết: “Ba ứng dụng này được sử dụng rộng rãi nhưng chúng không được duy trì cũng như không được hỗ trợ và rõ ràng, bảo mật không phải là yếu tố khi các ứng dụng này được phát triển”.
