Новости Android наводнили «дырявые» приложения, ворующие пароли и переписку. Под ударом миллионы пользователей

Специальный корреспондент
Собака

Собака

Пресс-служба
Команда форума
Private Club
Регистрация
13/10/15
Сообщения
50.872
Репутация
61.675
Реакции
269.959
RUB
0
В каталоге Google Play найдены утилиты, скачанные миллионы раз, которые хакеры могут использовать для кражи паролей и личной переписки. В них содержатся в сумме семь опасных уязвимостей, но разработчики годами не устраняют их. Объем украденной при помощи этих утилит информации может оказаться гигантским.








Опасность пришла, откуда не ждали​


Владельцы на базе ОС Android столкнулись с новой напастью – в каталоге Google Play обрели популярность приложения, из-за халатности разработчиков позволяющие следить за всем, что пользователь набирает на виртуальной клавиатуре.


Речь о трех приложениях, превращающих умный мобильник в виртуальную или не менее виртуальную мышь для управления компьютером. По данным компании Synopsys из сферы кибербезопасности, опасными являются утилиты Lazy Mouse, PC Keyboard и Telepad, набравшие в сумме более 2 млн скачиваний из на декабрь 2022 г.


В этих трех программах в сумме содержатся семь очень опасных уязвимостей, но, что особенно важно, разработчики приложений совершенно не собираются их исправлять. Эксперты неоднократно пытались выйти с ними на связь, но те так и не отреагировали на сообщения и .


prog600.jpg

- далеко не тихая гавань. Вредоносов и «дырявых» утилит под этой ничуть не меньше, чем под Windows

Устав ждать, Synopsys выложила информацию об огромных «дырах» в столь популярных приложениях. На момент публикации материала на информацию об опасности не реагировала и Google – все три программы были доступны для скачивания, по меньшей мере, в сегменте Google Play.


Заброшенные приложения​


Эксперты Synopsys настоятельно рекомендуют пользователям удалить Lazy Mouse, PC Keyboard и Telepad, поскольку вероятность скорого выхода обновлений, в которых разработчики закроют все «дыры», стремится к нулю. Во-первых, авторы неделями не выходят на связь, во-вторых, свои программы они, похоже, давно забросили. Например, PC Keyboard не обновлялась с лета 2020 г., а Lazy Mouse в последний раз получала апдейты и вовсе в январе 2019 г.


Объем конфиденциальной информации пользователей, будь то переписка в , пароли или что-либо еще, утекший через эти программы, еще предстоит уточнить. Но если они не обновляются годами, он, объем, может весьма удивить своими размерами.


Семь – несчастливое число​


Эксперты Synopsys выявили в Lazy Mouse, PC Keyboard и Telepad четыре «дыры» критического уровня с оценкой опасности 9,8 балла из 10 по шкале . Еще три получили средний уровень опасности и рейтинг 5,1 из 10.



- рассадник древних приложений, с виду безвредных, но на деле крайне опасных

В программе Telepad нашлась -2022-45477 с оценкой 9,8 балла. Она дает возможность выполнять на устройстве любой нужный ему код. Брешь CVE-2022-45479 с таким же уровнем опасности и такими же свойствами обнаружилась в PC Keyboard.

Оставшееся две «дыры» критического уровня опасности (9,8 из 10) содержатся в Lazy Mouse. Это в первую очередь CVE-2022-45481 – а приложении не требуется устанавливать пароль пользователя, что позволяет выполнять в нем любой код без авторизации. Вторая брешь имеет индекс CVE-2022-45482. Ее суть в том, что серверная часть Lazy Mouse применяет слабые требования к паролю и не реализует ограничение скорости, что позволяет удаленным пользователям, не прошедшим проверку подлинности, легко и быстро подобрать . Другими словами, приложение уязвимо к брутфорсу.


Оставшиеся три уязвимости имеют менее высокий рейтинг опасности (5,1 из 10), но в теории могут нанести пользователю гораздо больший вред. Брешь CVE-2022-45478 содержится в Telepad и позволяет с успехом проводить атаки типа «Человек посередине» ( ). В результате они смогут перехватывать все, что пользователь набирает на клавиатуре.


Идентичные по своим свойствам «дыры» содержатся и в двух других программах – по одной на каждую. В PC Keyboard это CVE-2022-45480, в Lazy Mouse – CVE-2022-45483.

А в ответ тишина​


Эксперты Synopsys объяснили, почему идентичным уязвимостям были присвоены разные идентификаторы. По их словам, несмотря на то, что все уязвимости связаны с реализациями , авторизации и передачи данных, механизм использования каждой из них отличается от другого. Специалисты компании не выявили единого метода эксплуатации «дыр», применимого ко всем трем приложениям одновременно.

Факт наличия брешей в перечисленных программах в Synopsys обнаружили 13 августа 2022 г. Они тут же связались с разработчиками, но не получили обратной связи. 18 августа 2022 г. была предпринята повторная попытка контакта с авторами утилит, вновь провальная. 12 октября 2022 г. состоялась третья попытка, но и она не принесла требуемого результата.


Эксперты Synopsys подождали еще полтора месяца и 30 ноября 2022 г. рассказали о « » программах Lazy Mouse, PC Keyboard и Telepad всему . На момент публикации материала их разработчики так и не выпустили апдейты к ним, а Google не удалила их из своего каталога.







 
Сверху Снизу