Se han descubierto múltiples vulnerabilidades sin parchear en tres aplicaciones de Android que permiten usar un teléfono inteligente como teclado y mouse remotos.
Las aplicaciones en cuestión son Ratón perezoso, Teclado de computadoray telepad, que se han descargado acumulativamente más de dos millones de veces desde Google Play Store. Telepad ya no está disponible a través del mercado de aplicaciones, pero se puede descargar desde su sitio web.
- Ratón perezoso (com.ahmedaay.lazymouse2 y com.ahmedaay.lazymousepro)
- Teclado de PC (com.beapps.pckeyboard)
- Telepad (com.pinchtools.telepad)
Si bien estas aplicaciones funcionan al conectarse a un servidor en una computadora de escritorio y transmitirle los eventos del mouse y el teclado, el Centro de Investigación de Seguridad Cibernética de Synopsys (CyRC) fundar hasta siete fallas relacionadas con autenticación débil o faltante, autorización faltante y comunicación insegura.
Los problemas (desde CVE-2022-45477 hasta CVE-2022-45483), en pocas palabras, podrían ser explotados por un actor malicioso para ejecutar comandos arbitrarios sin autenticación o recopilar información confidencial al exponer las pulsaciones de teclas de los usuarios en texto sin cifrar.
El servidor Lazy Mouse sufre además de una política de contraseña débil y no implementa límites de velocidad, lo que permite a los atacantes remotos no autenticados forzar el PIN de manera trivial y ejecutar comandos no autorizados.
Vale la pena señalar que ninguna de las aplicaciones ha recibido actualizaciones durante más de dos años, por lo que es imperativo que los usuarios eliminen las aplicaciones con efecto inmediato.
«Estas tres aplicaciones se usan ampliamente, pero no reciben mantenimiento ni soporte y, evidentemente, la seguridad no fue un factor cuando se desarrollaron estas aplicaciones», dijo el investigador de seguridad de Synopsys, Mohammed Alshehri.