Bir akıllı telefonun uzaktan klavye ve fare olarak kullanılmasına izin veren üç Android uygulamasında birden çok yama uygulanmamış güvenlik açığı keşfedildi.
Söz konusu uygulamalar Tembel Fare, bilgisayar klavyesive telepad, Google Play Store’dan kümülatif olarak iki milyonun üzerinde indirilmiştir. Telepad artık uygulama pazarında mevcut değildir, ancak web sitesinden indirilebilir.
- Tembel Fare (com.ahmedaay.lazymouse2 ve com.ahmedaay.lazymousepro)
- PC Klavyesi (com.beapps.pckeyboard)
- Telepad (com.pinchtools.telepad)
Bu uygulamalar, masaüstündeki bir sunucuya bağlanıp fare ve klavye olaylarını ona ileterek çalışırken, Synopsys Siber Güvenlik Araştırma Merkezi (CyRC) bulundu zayıf veya eksik kimlik doğrulama, eksik yetkilendirme ve güvensiz iletişim ile ilgili yedi adede kadar kusur.
Özetle, sorunlar (CVE-2022-45477’den CVE-2022-45483’e kadar), kötü niyetli bir aktör tarafından kimlik doğrulaması olmadan rasgele komutlar yürütmek veya kullanıcıların tuş vuruşlarını açık metin olarak göstererek hassas bilgileri toplamak için kullanılabilir.
Tembel Fare sunucusu ayrıca zayıf bir parola politikasından muzdariptir ve hız sınırlaması uygulamaz, bu da kimliği doğrulanmamış uzaktaki saldırganların PIN’i önemsiz bir şekilde kaba kuvvet uygulamasına ve hileli komutlar yürütmesine olanak tanır.
Uygulamaların hiçbirinin iki yılı aşkın süredir herhangi bir güncelleme almadığını ve bu nedenle kullanıcıların uygulamaları anında kaldırmasını zorunlu kıldığını belirtmekte fayda var.
Synopsys güvenlik araştırmacısı Mohammed Alshehri, “Bu üç uygulama yaygın olarak kullanılıyor ancak ne sürdürülüyor ne de destekleniyorlar ve bu uygulamalar geliştirildiğinde güvenlik bir faktör değildi” dedi.