Ако имате тези приложения, сте в опасност

Открити са проблеми в три популярни приложения, а съветите са, ако имате едно от тях, може би е по-добре да го изтриете.

Центърът за киберсигурност на Synopsys (CyRC) предупреди за алармиращи разкристия в три приложения - Lazy Mouse, Telepad и PC клавиатура.

Lazy Mouse, Telepad и PC Keyboard са приложения за клавиатура и мишка, които се свързват към сървър на настолен или лаптоп, и предават събития от мишката и клавиатурата към сървъра. Безплатните и платените версии на тези три приложения имат общо повече от два милиона изтегляния от Google Play.

Проучването на CyRC разкри слаби или липсващи механизми за удостоверяване, липсващо разрешение и несигурни комуникационни проблеми в трите приложения. Използването на уязвимостите при удостоверяване и оторизация може да позволи на отдалечени неупълномощени нападатели да изпълняват произволни команди. По същия начин експлоатиране на уязвимостта на несигурната комуникация разкрива натисканията на клавишите на потребителя, включително лична информация като потребителски имена и пароли.

Приложенията за мишка и клавиатура използват различни мрежови протоколи за обмен на инструкции за натискане на мишката и клавишите. Въпреки че всички уязвимости са свързани с внедряването на удостоверяване, оторизация и предаване, механизмът за отказ на всяко приложение е различен.

CyRS откри уязвимости, които позволяват заобикаляне на удостоверяването и дистанционно изпълнение на код в трите приложения, но не намери нито един метод за експлоатация, който да се прилага и за трите.