06/12/22
Речь идет о приложениях Lazy Mouse, PC Keyboard и Telepad, которые в сумме имеют более 2 млн загрузок в Google Play, поясняет Securitylab.
Бреши в защите были обнаружены еще в августе этого года исследователями из компании Synopsys, которые безуспешно пытались связаться с разработчиками. Однако после нескольких неудачных попыток исследователи просто опубликовали отчет, в котором подробно рассказали про каждую из обнаруженных уязвимостей:
- CVE-2022-45477 (9,8 баллов из 10 по шкале CVSS) – уязвимость в Telepad, позволяющая удаленному неавторизованному пользователю отправлять на сервер инструкции для выполнения произвольного кода;
- CVE-2022-45478 (5,1 балла из 10 по шкале CVSS) – уязвимость в Telepad, позволяющая злоумышленнику провести атаку «Человек посередине» (MITM) и получить все нажатия клавиш в виде простого текста;
- CVE-2022-45479 (9,8 баллов из 10 по шкале CVSS) – уязвимость в PC Keyboard, позволяющая удаленному неавторизованному пользователю отправлять на сервер инструкции для выполнения произвольного кода;
- CVE-2022-45480 (5,1 балла из 10 по шкале CVSS) – уязвимость в PC Keyboard, позволяющая злоумышленнику провести атаку «Человек посередине» (MITM) и получить все нажатия клавиш в виде простого текста;
- CVE-2022-45481 (9,8 баллов из 10 по шкале CVSS) – отсутствие необходимости устанавливать пароль в стандартной конфигурации Lazy Mouse, что позволяет хакерам выполнять вредоносный код без авторизации;
- CVE-2022-45482 (9,8 баллов из 10 по шкале CVSS) – уязвимость в сервере Lazy Mouse, позволяющая с легкостью проводить брутфорс-атаки;
- CVE-2022-45483 (5,1 балла из 10 по шкале CVSS) – уязвимость в Lazy Mouse, позволяющая злоумышленнику провести атаку «Человек посередине» (MITM) и получить все нажатия клавиш в виде простого текста;
Стоит отметить, что ни одно из рассмотренных приложений не получало обновления более двух лет, поэтому специалисты рекомендуют пользователям как можно скорее удалить эти приложения.
