Kullanıcıların cihazları bilgisayarları için uzak klavyeler olarak kullanmasına olanak tanıyan üç Android uygulaması, anahtar presleri açığa çıkarabilecek ve uzaktan kod yürütmeyi etkinleştirebilecek kritik güvenlik açıklarına sahiptir.
Uygulamalar PC klavyesi, tembel fare ve telepad ve savunmasız sürümleri (ücretsiz ve ücretli) ve Google Play'de iki milyondan fazla birleşik kurulum sayısı var.
Kritik zayıflıklar, Ağustos 2022'de uygulama geliştiricilerine bulgularını bilgilendiren Synopsys'teki analistler tarafından keşfedildi.
Araştırmacılar, Ekim 2022'de tekrar yazılım satıcılarıyla tekrar iletişim kurmaya çalıştıktan ve cevap almadıktan sonra bugün bir güvenlik danışmanlığı yayınladılar.
“CYRC Research, zayıf veya eksik kimlik doğrulama mekanizmalarını, eksik yetkilendirme ve üç uygulamadaki güvensiz iletişim güvenlik açıklarını ortaya çıkardı” diyor.
“Güvenlik açıklarının hepsi kimlik doğrulama, yetkilendirme ve iletim uygulamalarıyla ilgili olsa da, her uygulamanın arıza mekanizması farklıdır” - Synopsys
Her uygulamayı etkileyen kusurlar şunlardır:
Üç uygulama artık geliştiricileri tarafından korunmuyor veya desteklenmiyor, bu nedenle “terkware” tanımlamak için kriterlere uyuyorlar.
Uygulamaları kullanmaya devam etmek, hassas bilgileri ortaya çıkarma riski ile birlikte gelir. Başarılı sömürü, uzaktan saldırganların cihazda keyfi kod çalıştırmasını da sağlayabilir.
Uzak bir klavye uygulaması arıyorsanız, Google Play'de birçoğu olumlu kullanıcı derecelendirmeleri olan birkaç aktif olarak korunan proje vardır.
Alternatif bir uygulama yüklemeden önce, kullanıcı incelemelerini kontrol ettiğinizden, projenin gizlilik politikasını dikkatlice okuduğunuzdan ve son güncellemenin tarihini kontrol ettiğinizden emin olun. Mümkünse, kullanıcılar Transit'teki verilerin şifrelendiğini onaylamaya çalışmalıdır.
15 milyon yüklemeli Android ve iOS uygulamaları zorla kredi arayanlar
Mali GPU ‘Patch Gap’ Android kullanıcılarını saldırılara karşı savunmasız bırakıyor
3 milyondan fazla yüklemeli uygulamalar Leak 'Admin' Arama API Keys
F5, Big-IP'de iki uzaktan kod yürütme kusurunu düzeltir
DuckDuckgo artık tüm Android kullanıcılarının uygulamalarındaki izleyicileri engellemesine izin veriyor
Kaynak: Bleeping Computer