Ошибки приложения Android-клавиатуры позволяют удаленно заражать устройства

Автор: Новиков Никита
Фото: RusPhotoBank

Три приложения для Android с миллионами загрузок в магазине Google Play имели несколько недостатков, которые могли позволить злоумышленникам удаленно выполнять команды и красть учетные данные.

Три приложения для клавиатуры и мыши для устройств Android, Lazy Mouse, Telepad и PC Keyboard, были пронизаны критическими уязвимостями, из-за чего пользователи подвергались опасности потери своих данных. Бесплатные и платные версии всех трех приложений имеют около двух миллионов загрузок.

Приложения были разработаны, чтобы пользователи могли использовать свое Android-устройство в качестве удаленной клавиатуры и мыши при подключении к компьютеру или другому устройству. Однако группа Synopsys Cybersecurity Research Center (CyRC) обнаружила слабые или даже отсутствующие механизмы аутентификации и авторизации, а также небезопасные коммуникационные уязвимости.

Эксплойт уязвимостей аутентификации и авторизации может позволить удаленным злоумышленникам, не прошедшим аутентификацию, выполнять произвольные команды. Точно так же эксплойт уязвимости небезопасной связи передает нажатия клавиш пользователя, включая конфиденциальную информацию, такую ​​как имена пользователей и пароли,

говорится в сообщении в блоге CyRC.

Несмотря на то, что, по данным аналитиков, уязвимости связаны с одними и теми же областями реализации аутентификации, авторизации и передачи данных, механизм кражи каждого приложения считается разным. Это означает, что всем трем приложениям нужны разные эксплойты, чтобы предотвратить атаки.

Исследователи отметили, что несколько раз обращались к разработчикам приложений, но не получили никакого ответа. Авторы отчета отмечают, что хотя приложения широко используются, они не обновляются и не поддерживаются.