Вибір редакції

Android наводнили приложения, ворующие пароли и переписку.

06 декабря, 2022. 01:12
В каталоге Google Play найдены утилиты, скачанные миллионы раз, которые хакеры могут использовать для кражи паролей и личной переписки. В них содержатся в сумме семь опасных уязвимостей, но разработчики годами не устраняют их. Объем украденной при помощи этих утилит информации может оказаться гигантским.
Владельцы смартфонов на базе ОС Android столкнулись с новой напастью – в каталоге Google Play обрели популярность приложения, из-за халатности разработчиков позволяющие следить за всем, что пользователь набирает на виртуальной клавиатуре.

Речь о трех приложениях, превращающих умный мобильник в виртуальную клавиатуру или не менее виртуальную мышь для управления компьютером. По данным компании Synopsys из сферы кибербезопасности, опасными являются утилиты Lazy Mouse, PC Keyboard и Telepad, набравшие в сумме более 2 млн скачиваний из Google Play на декабрь 2022 г.

В этих трех программах в сумме содержатся семь очень опасных уязвимостей, но, что особенно важно, разработчики приложений совершенно не собираются их исправлять. Эксперты Synopsys неоднократно пытались выйти с ними на связь, но те так и не отреагировали на сообщения и уведомления.

Устав ждать, Synopsys выложила в Сеть информацию об огромных «дырах» в столь популярных приложениях. На момент публикации материала на информацию об опасности не реагировала и Google – все три программы были доступны для скачивания.

Эксперты Synopsys настоятельно рекомендуют пользователям удалить Lazy Mouse, PC Keyboard и Telepad, поскольку вероятность скорого выхода обновлений, в которых разработчики закроют все «дыры», стремится к нулю. Во-первых, авторы неделями не выходят на связь, во-вторых, свои программы они, похоже, давно забросили. Например, PC Keyboard не обновлялась с лета 2020 г., а Lazy Mouse в последний раз получала апдейты и вовсе в январе 2019 г.

Объем конфиденциальной информации пользователей, будь то переписка в мессенджерах, пароли или что-либо еще, утекший через эти программы, еще предстоит уточнить. Но если они не обновляются годами, он, объем, может весьма удивить своими размерами.

Эксперты Synopsys выявили в Lazy Mouse, PC Keyboard и Telepad четыре «дыры» критического уровня с оценкой опасности 9,8 балла из 10 по шкале CVSS. Еще три получили средний уровень опасности и рейтинг 5,1 из 10.

В программе Telepad нашлась уязвимость CVE-2022-45477 с оценкой 9,8 балла. Она дает возможность выполнять на устройстве любой нужный ему код. Брешь CVE-2022-45479 с таким же уровнем опасности и такими же свойствами обнаружилась в PC Keyboard.

Оставшееся две «дыры» критического уровня опасности (9,8 из 10) содержатся в Lazy Mouse. Это в первую очередь CVE-2022-45481 – а приложении не требуется устанавливать пароль пользователя, что позволяет выполнять в нем любой код без авторизации. Вторая брешь имеет индекс CVE-2022-45482. Ее суть в том, что серверная часть Lazy Mouse применяет слабые требования к паролю и не реализует ограничение скорости, что позволяет удаленным пользователям, не прошедшим проверку подлинности, легко и быстро подобрать ПИН-код. Другими словами, приложение уязвимо к брутфорсу.

Оставшиеся три уязвимости имеют менее высокий рейтинг опасности (5,1 из 10), но в теории могут нанести пользователю гораздо больший вред. Брешь CVE-2022-45478 содержится в Telepad и позволяет хакерам с успехом проводить атаки типа «Человек посередине» (MITM). В результате они смогут перехватывать все, что пользователь набирает на клавиатуре.

Идентичные по своим свойствам «дыры» содержатся и в двух других программах – по одной на каждую. В PC Keyboard это CVE-2022-45480, в Lazy Mouse – CVE-2022-45483.

Эксперты Synopsys объяснили, почему идентичным уязвимостям были присвоены разные идентификаторы. По их словам, несмотря на то, что все уязвимости связаны с реализациями аутентификации, авторизации и передачи данных, механизм использования каждой из них отличается от другого. Специалисты компании не выявили единого метода эксплуатации «дыр», применимого ко всем трем приложениям одновременно.

Факт наличия брешей в перечисленных программах в Synopsys обнаружили 13 августа 2022 г. Они тут же связались с разработчиками, но не получили обратной связи. 18 августа 2022 г. была предпринята повторная попытка контакта с авторами утилит, вновь провальная. 12 октября 2022 г. состоялась третья попытка, но и она не принесла требуемого результата.

Эксперты Synopsys подождали еще полтора месяца и 30 ноября 2022 г. рассказали о «дырявых» программах Lazy Mouse, PC Keyboard и Telepad всему интернету. На момент публикации материала их разработчики так и не выпустили апдейты к ним, а Google не удалила их из своего каталога.

Комментарии: