安卓远程键盘漏洞影响超200万用户

VSole2022-12-08 08:46:00

研究人员在3款远程键盘中发现7个安全漏洞,影响超过200万用户。

远程键盘APP允许用户将设备通过无线方式连接到计算机。Synopsys研究人员在3款远程键盘APP中发现多个安全漏洞,攻击者利用相关漏洞可以泄露用户键盘输入,并实现远程代码执行。受影响的3款APP在谷歌应用商店累计下载量超过200万次。

图 谷歌play中的PC Keyboard和 Lazy Mouse

受影响的APP分别是PC Keyboard、Lazy Mouse、Telepad,受影响的版本既包括免费版,也包括付费版。研究人员在这3款APP中发现了弱认证机制或没有认证授权机制、不安全的通信等问题。漏洞CVE编号分别为:CVE-2022-45477:是Telepad APP中的安全漏洞,CVSS评分9.8分。攻击者利用该漏洞可以在非授权的请求下发送指令给服务器来执行任意代码,而无需认证或授权。

CVE-2022-45478:是Telepad APP中的安全漏洞,CVSS评分5.1分。攻击者利用该漏洞可以发起中间人攻击,并读取所有键盘输入。

CVE-2022-45479:是PC Keyboard APP中的安全漏洞,CVSS评分9.8分。攻击者利用该漏洞可以在非授权的请求下发送指令给服务器来执行任意代码,而无需认证或授权。

CVE-2022-45480:是PC Keyboard APP中的安全漏洞,CVSS评分5.1分。攻击者利用该漏洞可以发起中间人攻击,并读取所有键盘输入。

CVE-2022-45481:是Lazy Mouse APP默认配置中缺乏密码要求引发的安全漏洞,CVSS评分9.8分。未经认证的攻击者利用在漏洞可以在无需认证或授权的情况下执行任意代码。

CVE-2022-45482:是Lazy Mouse服务器弱密码要求,没有实现尝试次数限制。攻击者利用该漏洞可以暴力破解PIN码,并执行任意命令。

CVE-2022-45483:是Lazy Mouse APP中的安全漏洞,CVSS评分5.1分。攻击者利用该漏洞可以执行中间人攻击,并提取键盘输入。

目前,这三款APP都不再维护或支持。Telepad已从谷歌play应用商店移除,但仍然可以从官网下载。

继续使用有漏洞的APP可能会暴露用户敏感信息。远程攻击者成功利用漏洞可以在用户设备上执行任意代码。研究人员建议用户在下载远程键盘APP之前首先检查用户评分,阅读隐私政策,并检查是否是最新版本。如果可以的话,还应确认数据的数据是否是加密的。

信息安全软件
本作品采用《CC 协议》,转载必须注明作者和本文链接
信息安全产业是四川的特色产业。近日,《四川省“十四五”信息安全产业发展规划》正式出台,将推动四川省信息安全产业发展,为数字经济发展保驾护航。11月22日,省经信厅召开新闻发布会,对《规划》进行解读。
云评估作为确保中国政府和关键基础设施领域云平台安全的重要措施,云平台的供应链安全也将会成为云评估关注的重点之一。
双方将结合各自业务优势,进行能力融合,共同携手推出全方位解决方案。
《安全要求》给出了软件供应链安全保护目标,规定了软件供应链组织管理和供应活动管理的安全要求;适用于指导软件供应链中的需方、供方开展组织管理和供应活动管理,可为第三方机构开展软件供应链安全测试和评估提供依据,也可为主管监管部门提供参考。
软件产品和服务关系生产、生活的各个方面,软件供应链安全直接影响社会的稳定运行。
随着软件技术的飞速发展和软件开发技术的不断进步,软件开发和集成过程中常会应用第三方软件产品或开源组件,其供应链中软件的安全性和可靠性逐步成为软件产业面临的重要安全问题。近年来大量涌现的软件供应链安全事件则具有不同的特点,攻击软件供应链相较于攻击软件本身,难度和成本显著降低,影响范围一般显著扩大,并且由于攻击发生后被供应链上的多次传递所掩盖,难以被现有的计算机系统安全防范措施识别和处理。
工业信息安全快讯
针对软件供应链的网络攻击,常常利用系统固有安全漏洞,或者预置的软件后门开展攻击活动,并通过软件供应链形成的网链结构将攻击效果向下游传播给供应链中所有参与者。近年来,软件供应链网络攻击事件频发,影响越来越大。据 Accenture 公司调查,2016 年 60% 以上的网络攻击是供应链攻击。装备软件供应链安全事关国家安全、军队安全,一旦出现安全风险将会给国家和军队带来重大安全挑战,产生的后果不堪设想。
各类攻防演练的结果证明,软件供应链攻击已成为投入低、见效快、易突破的有效方式。总体思路与原则:合规是底线,管理是准则,制度是要求,技术是支撑,服务是保障,流程是协作。安全管理制度的建立,能够规范软件供应链涉及的内部、外部角色的行为,同时提供制度性保障。其次,针对软件开发各阶段与存在的风险,引入对应的安全能力,提供技术支撑,确保安全质量。
VSole
网络安全专家