- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 7ч 36м
- Сделки
- 251
- Нарушения
- 0 / 0
В трех Android-приложениях, позволяющих использовать смартфон в качестве беспроводной клавиатуры или мыши, было обнаружено семь опасных уязвимостей. Речь идет о приложениях Lazy Mouse, PC Keyboard и Telepad, которые в сумме имеют более 2 млн загрузок в Google Play.
Бреши в защите были обнаружены еще в августе этого года исследователями из компании Synopsys, которые безуспешно пытались связаться с разработчиками. Однако после нескольких неудачных попыток исследователи просто опубликовали отчет , в котором подробно рассказали про каждую из обнаруженных уязвимостей:
- CVE-2022-45477 (9,8 баллов из 10 по шкале CVSS) – уязвимость в Telepad, позволяющая удаленному неавторизованному пользователю отправлять на сервер инструкции для выполнения произвольного кода;
- CVE-2022-45478 (5,1 балла из 10 по шкале CVSS) – уязвимость в Telepad, позволяющая злоумышленнику провести атаку «Человек посередине» (MITM) и получить все нажатия клавиш в виде простого текста;
- CVE-2022-45479 (9,8 баллов из 10 по шкале CVSS) – уязвимость в PC Keyboard, позволяющая удаленному неавторизованному пользователю отправлять на сервер инструкции для выполнения произвольного кода;
- CVE-2022-45480 (5,1 балла из 10 по шкале CVSS) – уязвимость в PC Keyboard, позволяющая злоумышленнику провести атаку «Человек посередине» (MITM) и получить все нажатия клавиш в виде простого текста;
- CVE-2022-45481 (9,8 баллов из 10 по шкале CVSS) – отсутствие необходимости устанавливать пароль в стандартной конфигурации Lazy Mouse, что позволяет хакерам выполнять вредоносный код без авторизации;
- CVE-2022-45482 (9,8 баллов из 10 по шкале CVSS) – уязвимость в сервере Lazy Mouse, позволяющая с легкостью проводить брутфорс-атаки;
- CVE-2022-45483 (5,1 балла из 10 по шкале CVSS) – уязвимость в Lazy Mouse, позволяющая злоумышленнику провести атаку «Человек посередине» (MITM) и получить все нажатия клавиш в виде простого текста;
