Várias vulnerabilidades críticas foram encontradas pelos pesquisadores de segurança da Synopsys em três aplicativos Android que permitem aos usuários controlar sistemas de computador com dispositivos Android.
Além disso, estas vulnerabilidades críticas poderiam ser exploradas por agentes de ameaças para expor teclas pressionadas e executar RCE (Execução remota de código).
Os três aplicativos são bastante populares e têm mais de dois milhões de downloads no estado mesclado. Embora os aplicativos considerados vulneráveis sejam: –
- Teclado de PC
- Rato Preguiçoso
- Telepad
Embora a pesquisa conduzida pelos especialistas em segurança da Synopsys tenha sido compartilhada com os desenvolvedores de aplicativos em agosto de 2022 como resultado das descobertas.
Depois de entrar em contato novamente com os fornecedores de software em outubro de 2022 e não obter resposta deles, os pesquisadores finalmente publicaram um comunicado de segurança.
Tem sido descoberto que esses três aplicativos têm os seguintes tipos de falhas que foram introduzidas pela pesquisa CyRC: –
- Mecanismos de autenticação ausentes
- Autorização ausente
- Comunicação insegura
Vulnerabilidades
A seguir estão as falhas que afetam cada aplicativo de maneiras diferentes: –
| Descrição: O Telepad permite que usuários remotos não autenticados enviem instruções ao servidor para executar código arbitrário sem qualquer autorização ou autenticação prévia. Pontuação CVSS: 9.8 CVSS 3.1 vetor: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| Descrição: o Telepad permite que um invasor (em uma posição intermediária entre o servidor e um dispositivo conectado) veja todos os dados (incluindo pressionamentos de teclas) em texto não criptografado. Pontuação CVSS: 5.1 CVSS 3.1 vetor: AV:L/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
| Descrição: o teclado do PC permite que usuários remotos não autenticados enviem instruções ao servidor para executar código arbitrário sem qualquer autorização ou autenticação prévia. Pontuação CVSS: 9.8 CVSS 3.1 vetor: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| Descrição: O teclado do PC permite que um invasor (em uma posição intermediária entre o servidor e um dispositivo conectado) veja todos os dados (incluindo pressionamentos de teclas) em texto não criptografado. Pontuação CVSS: 5.1 CVSS 3.1 vetor: AV:L/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
| Descrição: a configuração padrão do Lazy Mouse não requer senha, permitindo que usuários remotos não autenticados executem código arbitrário sem autorização ou autenticação prévia. Pontuação CVSS: 9.8 CVSS 3.1 vetor: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| Descrição: O servidor Lazy Mouse impõe requisitos de senha fracos e não implementa limitação de taxa, permitindo que usuários remotos não autenticados apliquem força bruta no PIN de maneira fácil e rápida e executem comandos arbitrários. Pontuação CVSS: 9.8 CVSS 3.1 vetor: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| Descrição: o Lazy Mouse permite que um invasor (em uma posição intermediária entre o servidor e um dispositivo conectado) veja todos os dados (incluindo pressionamentos de tecla) em texto não criptografado. Pontuação CVSS: 5.1 CVSS 3.1 vetor: AV:L/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
Linha do tempo
- 13 de agosto de 2022: Divulgação inicial
- 18 de agosto de 2022: Comunicação de acompanhamento
- 12 de outubro de 2022: Comunicação final de acompanhamento
- 30 de novembro de 2022: Comunicado publicado pela Synopsys
Recomendação
Os desenvolvedores de todos os três aplicativos afetados abandonaram cada um desses aplicativos, em outras palavras, os desenvolvedores não oferecem mais suporte a esses aplicativos. É por isso que cumprem os critérios para a definição de abandonware.
O uso contínuo desses aplicativos pode colocar informações confidenciais em risco e há uma grande probabilidade de que sejam expostas. Também existe a possibilidade de invasores remotos executarem código arbitrário no dispositivo se conseguirem explorar essas vulnerabilidades críticas.
Certifique-se de ler a declaração de privacidade com atenção antes de instalar qualquer aplicativo alternativo. Além disso, os usuários também devem verificar as análises do aplicativo e verificar a data da última atualização antes de instalar qualquer aplicativo alternativo.
Por enquanto, há uma forte recomendação do CyRC para remover esses aplicativos vulneráveis o mais rápido possível para evitar qualquer exploração adicional.
