Secondo i ricercatori CyRC (Cybersecurity Research Center) di Synopsys alcune applicazioni Android che consentono agli utenti di utilizzare i dispositivi Android come tastiera e mouse remoti per i propri computer presenterebbero delle vulnerabilità critiche che potrebbero esporre a terzi la sequenza dei tasti digitati (trasformando di fatto le app in veri e propri keylogger) e consentire l’esecuzione di codice arbitrario in modalità remota.
Le tre applicazioni incriminate, disponibili in versioni gratuite e a pagamento sul Google Play Store, avrebbero registrato oltre due milioni di download:
- Telepad versioni 1.0.7 e precedenti;
- PC Keyboard versioni 30 e precedenti;
- Lazy Mouse versioni 2.0.1 e precedenti.
Indice degli argomenti
I difetti di sicurezza rilevati
“Le applicazioni per mouse e tastiera utilizzano una varietà di protocolli di rete per scambiare le istruzioni del mouse e della pressione dei tasti. Sebbene le vulnerabilità sono tutte correlate alle implementazioni di autenticazione, autorizzazione e trasmissione, il meccanismo di errore di ciascuna applicazione è diverso. Il CyRC ha rilevato vulnerabilità che consentono il bypass dell’autenticazione e l’esecuzione di codice in modalità remota nelle tre applicazioni, ma non ha trovato un singolo metodo di sfruttamento che si applichi a tutte e tre”, si legge nell’avviso pubblicato da Mohammed Alshehri Ricercatore di Sicurezza Synopsys.
Nello specifico le vulnerabilità che interesserebbero ciascuna di queste app sono le seguenti.
Telepad
- CVE-2022-45477 (punteggio base CVSS 3.1: 9.8): è un difetto che consente a un utente remoto non autenticato di inviare istruzioni al server per eseguire codice arbitrario senza richiedere autorizzazione/autenticazione.
- CVE-2022-45478 (punteggio base CVSS 3.1: 5.1): è un difetto che consente a un attore malevolo di eseguire un attacco MitM (Man-in-the-Middle) e rilevare le sequenze delle pressioni dei tasti in chiaro.
PC Keyboard
- CVE-2022-45479 (punteggio base CVSS 3.1: 9.8): è un difetto che consente a un utente remoto non autenticato di inviare istruzioni al server per eseguire codice arbitrario senza richiedere autorizzazione/autenticazione.
- CVE-2022-45480 (punteggio base CVSS 3.1: 5.1): è un difetto che consente a un attore malevolo di eseguire un attacco MitM e rilevare le sequenze delle pressioni dei tasti in chiaro in chiaro.
Lazy Mouse
- CVE-2022-45481 (punteggio base CVSS 3.1: 9.8): la configurazione predefinita di Lazy Mouse non richiede una password, consentendo agli utenti remoti non autenticati di eseguire codice arbitrario senza richiedere autorizzazione/autenticazione.
- CVE-2022-45482 (punteggio base CVSS 3.1: 9.8): il server Lazy Mouse applicando requisiti di password deboli consente a utenti remoti non autenticati di portare a termine attacchi brute force per recuperare PIN ed eseguire comandi arbitrari.
- CVE-2022-45483 (punteggio base CVSS 3.1: 5.1): è un difetto che consente a un attore malevolo di eseguire un attacco MitM e rilevare le sequenze delle pressioni dei tasti in chiaro in chiaro.
I consigli per mitigare il rischio
Secondo la propria politica di divulgazione responsabile, il CyRC ha provato a contattare gli sviluppatori dal mese di agosto 2022. I ricercatori hanno pertanto pubblicato l’avviso di sicurezza, dopo aver tentato di informare nuovamente i fornitori con delle comunicazioni di follow-up, ma senza ricevere ancora alcuna risposta.
Poiché queste applicazioni sono ampiamente utilizzate pur non essendo più né mantenute e né supportate dai rispettivi sviluppatori, il CyRC consiglia di rimuoverle immediatamente in quanto uno sfruttamento riuscito delle loro vulnerabilità comporterebbe un rischio significativo di esporre informazioni sensibili oltre a consentire agli attaccanti di eseguire da remoto codice arbitrario sui dispositivi interessati.
