last posts

Android-Tastatur-Apps mit 2 Millionen Downloads können Ihr Gerät aus der Ferne hackenSicherheitsfälle

Meta description

Experten haben mehrere Schwachstellen in drei Android-Tastatur-Apps gefunden, die von entfernten Angreifern ausgenutzt werden können, um ein Mobiltelefon zu kompromittieren.

Forscher des Synopsys Cybersecurity Research Center (CyRC) warnen vor drei Android-Tastatur-Apps mit insgesamt zwei Millionen Installationen, die von mehreren Fehlern betroffen sind (CVE-2022-45477, CVE-2022-45478, CVE-2022-45479, CVE-2022-45480, CVE-2022-45481, CVE-2022-45482, CVE-2022-45483), die von Angreifern ausgenutzt werden kann, um ein Mobiltelefon zu kompromittieren.

Tastatur- und Mausanwendungen stellen eine Verbindung zu einem Server auf einem Desktop- oder Laptop-Computer her und leiten Maus- und Tastaturereignisse an einen Remote-Server weiter.

Diese drei Android-Apps (Lazy Mouse, PC Keyboard und Telepad) sind Tastatur-Apps, die im offiziellen Google Play Store erhältlich sind und als Remote-Tastatur und -Maus verwendet werden.

CyRC-Experten warnen vor schwachen oder fehlenden Authentifizierungsmechanismen, fehlender Autorisierung und Sicherheitslücken in der unsicheren Kommunikation in allen drei Apps.

„Ein Exploit der Authentifizierungs- und Autorisierungsschwachstellen könnte es nicht authentifizierten entfernten Angreifern ermöglichen, beliebige Befehle auszuführen. In ähnlicher Weise legt ein Exploit der Schwachstelle „Unsichere Kommunikation“ Tastenanschläge von Benutzern offen, einschließlich vertraulicher Informationen wie Benutzernamen und Passwörter. liest die von CyRC veröffentlichte Analyse.

„Maus- und Tastaturanwendungen verwenden eine Vielzahl von Netzwerkprotokollen, um Maus- und Tastenbefehle auszutauschen. Obwohl die Schwachstellen alle mit Authentifizierungs-, Autorisierungs- und Weiterleitungsimplementierungen zusammenhängen, ist der Fehlermechanismus jeder Anwendung anders. CyRC fand Schwachstellen, die Authentifizierungsumgehungen und Remotecodeausführung in allen drei Anwendungen ermöglichen, fand jedoch keine einzige Exploit-Methode, die für alle drei galt.

Die betroffene Software ist:

  • Telepad-Versionen 1.0.7 und früher
  • PC-Tastaturversionen 30 und früher
  • Lazy Mouse Version 2.0.1 und früher

Nachfolgend finden Sie die Details der kritischen Schwachstellen:

CVE-2022-45477
Telepad ermöglicht es nicht authentifizierten Remote-Benutzern, Anweisungen an den Server zu senden, um beliebigen Code ohne vorherige Autorisierung oder Authentifizierung auszuführen.

CVE-2022-45479
PC Keyboard ermöglicht es nicht authentifizierten Remote-Benutzern, Anweisungen an den Server zu senden, um beliebigen Code ohne vorherige Autorisierung oder Authentifizierung auszuführen.

CVE-2022-45481
Die Standardkonfiguration von Lazy Mouse erfordert kein Passwort, sodass nicht authentifizierte Remotebenutzer beliebigen Code ohne vorherige Autorisierung oder Authentifizierung ausführen können.

CVE-2022-45482
Der Lazy Mouse-Server erzwingt schwache Passwortanforderungen und implementiert keine Ratenbegrenzung, sodass nicht authentifizierte Remotebenutzer die PIN einfach und schnell knacken und beliebige Befehle ausführen können.

Die Schwachstellen wurden ursprünglich am 13. August 2022 offengelegt und das CyRC veröffentlichte die Empfehlung, da sie noch keine Antwort von den Entwicklungsteams hinter diesen Apps erhalten haben.

Hier ist die Zeitleiste dieser Schwachstellen:

  • 13. August 2022: Erstmalige Offenlegung
  • 18. August 2022: Follow-up-Kommunikation
  • 12. Oktober 2022: letzte Folgekommunikation
  • 30. November 2022: Mitteilung von Synopsys veröffentlicht

„CyRC hat die Entwickler mehrmals kontaktiert, aber innerhalb der 90-Tage-Frist, die von unserer Richtlinie zur verantwortungsvollen Offenlegung vorgeschrieben ist, keine Antwort erhalten. Diese drei Apps werden häufig verwendet, aber nicht gewartet oder unterstützt, und Sicherheit war offensichtlich kein Faktor, als diese Apps entwickelt wurden. schließt den Bericht ab. “CyRC empfiehlt, Apps sofort zu entfernen.”

Folge mir auf Twitter: @Sicherheitsfragen und Facebook und Mastodon

Pierluigi Paganini

(Sicherheitsfälle Hacking, Android-Tastatur)





Blog In 2021 joker0o xyz




Font Size
+
16
-
lines height
+
2
-