Android键盘应用程序漏洞允许远程感染设备

三款在Google Play商店中拥有数百万下载量的Android应用程序存在多个缺陷,攻击者可以利用这些缺陷远程执行命令并窃取凭据。

用于Android设备的三个键盘和鼠标应用程序Lazy Mouse、Telepad和PC Keyboard都存在严重漏洞,使用户面临丢失数据的危险。这三个应用程序的免费和付费版本的下载量均接近200万。

这些应用程序旨在让用户在连接到计算机或其他设备时将其Android设备用作远程键盘和鼠标。

然而,Synopsys网络安全研究中心(CyRC)团队发现了薄弱甚至缺失的身份验证和授权机制以及不安全的通信漏洞。

“利用身份验证和授权漏洞可能允许未经身份验证的远程攻击者执行任意命令。同样,利用不安全的通信漏洞会暴露用户的击键,包括用户名和密码等敏感信息,”CyRC的博客文章说。

尽管研究人员声称这些漏洞与身份验证、授权和传输实现的相同领域相关,但每个应用程序的失败机制被认为是不同的。这意味着这三个应用程序都需要不同的漏洞来利用它们的缺陷。

研究人员指出,他们曾多次联系应用程序开发人员,但没有收到任何回复。报告的作者指出,虽然这些应用程序被广泛使用,但它们并未得到更新或维护。

最近,研究团队发现数以千计的Android应用程序具有硬编码的秘密,这意味着恶意行为者可以通过分析有关应用程序的公开可用信息来利用该信息谋取利益。

去年,该团队发现,由于Firebase的错误配置, 14款顶级Android应用程序(总下载量超过1.4亿人)正在泄露用户数据。

发表评论

评论已关闭。

相关文章