Üç Android kullanıcıların telefonlarını bir araç olarak kullanmalarına izin vermek için tasarlanmış uygulamalar tuş takımı için iş istasyonu tuşlara basılmasını tehdit aktörlerine gösteriyor ve onların uzaktan kod yürütmelerine izin veriyor olabilir.
Göre BleepingBilgisayar (yeni sekmede açılır), elektronik tasarım otomasyonu (EDA) şirketi Synopsys’teki analistler, “PC Klavyesi”, “Lazy Mouse” ve “Telepad”de kritik güvenlik açıkları buldular ve bir rapor yayınladılar. danışma bildirimi (yeni sekmede açılır) yedi farklı güvenlik kusuruyla ilgili Uygulama Güvenliği Blogunda.
Bu uygulamaların her ikisi de etkilenen ücretsiz ve ücretli sürümlerinin toplam yükleme tabanı iki milyondan fazladır. Synopsys, Ağustos 2022’de ilk kez iletişim kurduktan sonraki 90 günlük süre içinde ilgili uygulama geliştiricilerinden herhangi bir yanıt almadı ve şimdi uygulamaların kaldırılmasını öneriyor.
Android uzaktan klavye uygulaması güvenlik kusurları
Synopsys’in danışma belgesinde, “CyRC araştırması, zayıf veya eksik kimlik doğrulama mekanizmalarını, eksik yetkilendirmeyi ve üç uygulamada güvensiz iletişim güvenlik açıklarını ortaya çıkardı” diyor.
“Güvenlik açıklarının tümü kimlik doğrulama, yetkilendirme ve iletim uygulamalarıyla ilgili olsa da, her uygulamanın başarısızlık mekanizması farklıdır.”
Söz konusu kusurlar CVE-2022-45477, CVE-2022-45478, CVE-2022-45479, CVE-2022-45480, CVE-2022-45481, CVE-2022-45482 ve CVE-2022-45483’tür. Birlikte, kimliği doğrulanmamış kullanıcıların uygulamaların uzak sunucularına erişmesine izin verir ve “ortadaki adam saldırıları” gerçekleştirmelerine ve tüm tuş vuruşlarını düz metin olarak okumalarına izin verir.
Özellikle Lazy Mouse, uygulama içindeki sunucu için bir parola ayarlanmasını gerektirmez ve varsayılan olarak bir parola belirlemez; bir durumda kendilerine karşı kullanılabilecek kişisel veriler kimlik Hırsızı.
Android için çok sayıda güvenli uzaktan klavye uygulaması Google Play Store’da listelenmiştir.
Yanlışlıkla yüklemeyi önlemek için kötü amaçlı yazılımuygulamanın güvenilir bir kaynak olarak oradan geldiğinden, harika kullanıcı incelemeleri, teknoloji endüstrisindeki figürlerden öneriler, yakın tarihli bir güncelleme geçmişi ve mükemmel yazım ve dil bilgisi içeren bir açıklama içerdiğinden emin olun.
Ancak kullanıcılar, yalnızca tüm tuş vuruşlarının şifreli olduğunu garanti edebilirlerse, tehlikeye karşı gerçekten güvende olacaklardır. Güvenilir bir uygulama genellikle bu özelliği öne çıkarır, ancak bunu, genellikle Play Store sayfasında bulunan uygulamanın gizlilik politikasında da bulabilirsiniz.