小心这些安装了200万的Android键盘应用程序可以被远程破解

在三款允许智能手机用作远程键盘和鼠标的Android应用程序中发现了多个未修补的漏洞。

有问题的应用程序是懒惰的老鼠,PC键盘和Telepad公司，已累计从Google Play商店下载超过200万次。Telepad不再通过应用市场提供，但可以从其网站下载。

• Lazy Mouse（com.ahmeday.lazymouse2和com.ahmeday.lazymousepro）
• PC键盘（com.beapps.pckekeyboard）
• Telepad（com.pinchtols.Telepad）

虽然这些应用程序通过连接到桌面上的服务器并向其传输鼠标和键盘事件来运行，但Synopsys网络安全研究中心（CyRC）发现了多达七个与身份验证薄弱或缺失、授权缺失和通信不安全相关的缺陷。

简而言之，这些问题（从CVE-2022-45477到CVE-2022-4 5483）可能会被恶意行为者利用，在没有身份验证的情况下执行任意命令，或者通过以明文形式暴露用户的键击来获取敏感信息。

Lazy Mouse服务器还受到了弱密码策略的影响，并且没有实施速率限制，使得未经身份验证的远程攻击者能够轻而易举地强行输入PIN并执行恶意命令。

值得注意的是，两年多来，没有一款应用程序收到任何更新，因此用户必须立即删除这些应用程序。

Synopsys安全研究人员Mohammed Alshehri表示：“这三个应用程序被广泛使用，但它们既没有得到维护，也没有得到支持。显然，在开发这些应用程序时，安全性并不是一个因素”。