- Специальный корреспондент
В каталоге Google Play найдены утилиты, скачанные миллионы раз, которые хакеры могут использовать для кражи паролей и личной переписки. В них содержатся в сумме семь опасных уязвимостей, но разработчики годами не устраняют их. Объем украденной при помощи этих утилит информации может оказаться гигантским.
Владельцы на базе ОС Android столкнулись с новой напастью – в каталоге Google Play обрели популярность приложения, из-за халатности разработчиков позволяющие следить за всем, что пользователь набирает на виртуальной клавиатуре.
Речь о трех приложениях, превращающих умный мобильник в виртуальную или не менее виртуальную мышь для управления компьютером. По данным компании Synopsys из сферы кибербезопасности, опасными являются утилиты Lazy Mouse, PC Keyboard и Telepad, набравшие в сумме более 2 млн скачиваний из на декабрь 2022 г.
В этих трех программах в сумме содержатся семь очень опасных уязвимостей, но, что особенно важно, разработчики приложений совершенно не собираются их исправлять. Эксперты неоднократно пытались выйти с ними на связь, но те так и не отреагировали на сообщения и .
- далеко не тихая гавань. Вредоносов и «дырявых» утилит под этой ничуть не меньше, чем под Windows
Устав ждать, Synopsys выложила информацию об огромных «дырах» в столь популярных приложениях. На момент публикации материала на информацию об опасности не реагировала и Google – все три программы были доступны для скачивания, по меньшей мере, в сегменте Google Play.
Эксперты Synopsys настоятельно рекомендуют пользователям удалить Lazy Mouse, PC Keyboard и Telepad, поскольку вероятность скорого выхода обновлений, в которых разработчики закроют все «дыры», стремится к нулю. Во-первых, авторы неделями не выходят на связь, во-вторых, свои программы они, похоже, давно забросили. Например, PC Keyboard не обновлялась с лета 2020 г., а Lazy Mouse в последний раз получала апдейты и вовсе в январе 2019 г.
Объем конфиденциальной информации пользователей, будь то переписка в , пароли или что-либо еще, утекший через эти программы, еще предстоит уточнить. Но если они не обновляются годами, он, объем, может весьма удивить своими размерами.
Эксперты Synopsys выявили в Lazy Mouse, PC Keyboard и Telepad четыре «дыры» критического уровня с оценкой опасности 9,8 балла из 10 по шкале . Еще три получили средний уровень опасности и рейтинг 5,1 из 10.
- рассадник древних приложений, с виду безвредных, но на деле крайне опасных
В программе Telepad нашлась -2022-45477 с оценкой 9,8 балла. Она дает возможность выполнять на устройстве любой нужный ему код. Брешь CVE-2022-45479 с таким же уровнем опасности и такими же свойствами обнаружилась в PC Keyboard.
Оставшееся две «дыры» критического уровня опасности (9,8 из 10) содержатся в Lazy Mouse. Это в первую очередь CVE-2022-45481 – а приложении не требуется устанавливать пароль пользователя, что позволяет выполнять в нем любой код без авторизации. Вторая брешь имеет индекс CVE-2022-45482. Ее суть в том, что серверная часть Lazy Mouse применяет слабые требования к паролю и не реализует ограничение скорости, что позволяет удаленным пользователям, не прошедшим проверку подлинности, легко и быстро подобрать . Другими словами, приложение уязвимо к брутфорсу.
Оставшиеся три уязвимости имеют менее высокий рейтинг опасности (5,1 из 10), но в теории могут нанести пользователю гораздо больший вред. Брешь CVE-2022-45478 содержится в Telepad и позволяет с успехом проводить атаки типа «Человек посередине» ( ). В результате они смогут перехватывать все, что пользователь набирает на клавиатуре.
Идентичные по своим свойствам «дыры» содержатся и в двух других программах – по одной на каждую. В PC Keyboard это CVE-2022-45480, в Lazy Mouse – CVE-2022-45483.
Эксперты Synopsys объяснили, почему идентичным уязвимостям были присвоены разные идентификаторы. По их словам, несмотря на то, что все уязвимости связаны с реализациями , авторизации и передачи данных, механизм использования каждой из них отличается от другого. Специалисты компании не выявили единого метода эксплуатации «дыр», применимого ко всем трем приложениям одновременно.
Факт наличия брешей в перечисленных программах в Synopsys обнаружили 13 августа 2022 г. Они тут же связались с разработчиками, но не получили обратной связи. 18 августа 2022 г. была предпринята повторная попытка контакта с авторами утилит, вновь провальная. 12 октября 2022 г. состоялась третья попытка, но и она не принесла требуемого результата.
Эксперты Synopsys подождали еще полтора месяца и 30 ноября 2022 г. рассказали о « » программах Lazy Mouse, PC Keyboard и Telepad всему . На момент публикации материала их разработчики так и не выпустили апдейты к ним, а Google не удалила их из своего каталога.
Опасность пришла, откуда не ждали
Владельцы на базе ОС Android столкнулись с новой напастью – в каталоге Google Play обрели популярность приложения, из-за халатности разработчиков позволяющие следить за всем, что пользователь набирает на виртуальной клавиатуре.
Речь о трех приложениях, превращающих умный мобильник в виртуальную или не менее виртуальную мышь для управления компьютером. По данным компании Synopsys из сферы кибербезопасности, опасными являются утилиты Lazy Mouse, PC Keyboard и Telepad, набравшие в сумме более 2 млн скачиваний из на декабрь 2022 г.
В этих трех программах в сумме содержатся семь очень опасных уязвимостей, но, что особенно важно, разработчики приложений совершенно не собираются их исправлять. Эксперты неоднократно пытались выйти с ними на связь, но те так и не отреагировали на сообщения и .
- далеко не тихая гавань. Вредоносов и «дырявых» утилит под этой ничуть не меньше, чем под Windows
Устав ждать, Synopsys выложила информацию об огромных «дырах» в столь популярных приложениях. На момент публикации материала на информацию об опасности не реагировала и Google – все три программы были доступны для скачивания, по меньшей мере, в сегменте Google Play.
Заброшенные приложения
Эксперты Synopsys настоятельно рекомендуют пользователям удалить Lazy Mouse, PC Keyboard и Telepad, поскольку вероятность скорого выхода обновлений, в которых разработчики закроют все «дыры», стремится к нулю. Во-первых, авторы неделями не выходят на связь, во-вторых, свои программы они, похоже, давно забросили. Например, PC Keyboard не обновлялась с лета 2020 г., а Lazy Mouse в последний раз получала апдейты и вовсе в январе 2019 г.
Объем конфиденциальной информации пользователей, будь то переписка в , пароли или что-либо еще, утекший через эти программы, еще предстоит уточнить. Но если они не обновляются годами, он, объем, может весьма удивить своими размерами.
Семь – несчастливое число
Эксперты Synopsys выявили в Lazy Mouse, PC Keyboard и Telepad четыре «дыры» критического уровня с оценкой опасности 9,8 балла из 10 по шкале . Еще три получили средний уровень опасности и рейтинг 5,1 из 10.
- рассадник древних приложений, с виду безвредных, но на деле крайне опасных
В программе Telepad нашлась -2022-45477 с оценкой 9,8 балла. Она дает возможность выполнять на устройстве любой нужный ему код. Брешь CVE-2022-45479 с таким же уровнем опасности и такими же свойствами обнаружилась в PC Keyboard.
Оставшееся две «дыры» критического уровня опасности (9,8 из 10) содержатся в Lazy Mouse. Это в первую очередь CVE-2022-45481 – а приложении не требуется устанавливать пароль пользователя, что позволяет выполнять в нем любой код без авторизации. Вторая брешь имеет индекс CVE-2022-45482. Ее суть в том, что серверная часть Lazy Mouse применяет слабые требования к паролю и не реализует ограничение скорости, что позволяет удаленным пользователям, не прошедшим проверку подлинности, легко и быстро подобрать . Другими словами, приложение уязвимо к брутфорсу.
Оставшиеся три уязвимости имеют менее высокий рейтинг опасности (5,1 из 10), но в теории могут нанести пользователю гораздо больший вред. Брешь CVE-2022-45478 содержится в Telepad и позволяет с успехом проводить атаки типа «Человек посередине» ( ). В результате они смогут перехватывать все, что пользователь набирает на клавиатуре.
Идентичные по своим свойствам «дыры» содержатся и в двух других программах – по одной на каждую. В PC Keyboard это CVE-2022-45480, в Lazy Mouse – CVE-2022-45483.
А в ответ тишина
Эксперты Synopsys объяснили, почему идентичным уязвимостям были присвоены разные идентификаторы. По их словам, несмотря на то, что все уязвимости связаны с реализациями , авторизации и передачи данных, механизм использования каждой из них отличается от другого. Специалисты компании не выявили единого метода эксплуатации «дыр», применимого ко всем трем приложениям одновременно.
Факт наличия брешей в перечисленных программах в Synopsys обнаружили 13 августа 2022 г. Они тут же связались с разработчиками, но не получили обратной связи. 18 августа 2022 г. была предпринята повторная попытка контакта с авторами утилит, вновь провальная. 12 октября 2022 г. состоялась третья попытка, но и она не принесла требуемого результата.
Эксперты Synopsys подождали еще полтора месяца и 30 ноября 2022 г. рассказали о « » программах Lazy Mouse, PC Keyboard и Telepad всему . На момент публикации материала их разработчики так и не выпустили апдейты к ним, а Google не удалила их из своего каталога.
