小心!这些安装了 200 万次的 Android 键盘应用程序可以被远程入侵
admin- 首页
- 新闻资讯
- 安全资讯
- 小心!这些安装了 200 万次的 Android 键盘应用程序可以被远程入侵
小心!这些安装了 200 万次的 Android 键盘应用程序可以被远程入侵
发布日期:2022-12-28近日,Synopsys 安全研究人员发现,在可以将智能手机用作远程键盘和鼠标的三个 Android 应用程序中存在多个未修补的漏洞。
这些应用程序分别是Lazy Mouse、PC Keyboard和Telepad,它们已从 Google Play 商店累计下载超过 200 万次。其中Telepad 不再能通过应用商店下载,但可以从其网站下载。
懒惰鼠标(com.ahmedaay.lazymouse2 和 com.ahmedaay.lazymousepro)
PC 键盘 (com.beapps.pckeyboard)
Telepad (com.pinchtools.telepad)
虽然这些应用程序通过连接到桌面上的服务器来代替鼠标键盘的运行,但是Synopsys 网络安全研究中心 (CyRC)发现了多达七个与弱身份验证或缺少身份验证、缺少授权和不安全通信相关的缺陷。
简而言之,这些问题(从 CVE-2022-45477 到 CVE-2022-45483)可能会被恶意攻击者利用来执行任意命令,无需身份验证通加载用户的击键来获取敏感信息。
Lazy Mouse 服务器还受到弱密码策略的影响,但其并没有实施速率限制,使远程未经身份验证的攻击者能够轻易地暴力破解 PIN 并执行命令。
更值得注意的是,两年多来这些应用程序没有任何更新,因此用户最好立即删除这些应用程序。
Synopsys 安全研究员 Mohammed Alshehri 表示:这三个应用程序被广泛使用,但它们既没有考虑到用户的隐私安全也没有进行任何迭代,显然,在开发这些应用程序时,安全性并不在他们的设计范围内。
来源:FreeBuf
上一篇:因遭遇网络攻击,这个国家政务网络瘫痪超三周
下一篇:微软透露:基于密码的黑客攻击在过去一年中增加了74%
相关新闻
- 勒索软件攻击事件为何不断增加
- 全球石油巨头因网络攻击损失超2.5亿元
- 39秒黑客就会攻击一次,每天造成1800万美元的损失
- 施*德电气遭数据勒索:开发平台访问凭证暴露 40GB数据失窃
- 25家跨国企业数据泄露,MOVEit漏洞引发重大安全危机
- 《个人信息保护法》施行三周年,SSL证书筑牢个人信息 “安全堤”
- 数据泄露事件频发 我们如何防患于未然
- 遭勒索攻击后,秘鲁国际银行承认数据泄露
- 一机场集团疑遭勒索软件攻击,旗下13个机场紧急切换备用系统
- 诺*亚正在调查一起数据泄露事件
