Los investigadores han descubierto vulnerabilidades críticas de ejecución remota de código en numerosas aplicaciones de teclado remoto para Android. Dada su cantidad de descargas, las aplicaciones vulnerables han puesto en riesgo la seguridad de más de 2 millones de usuarios de Android.
Vulnerabilidades de la aplicación de teclado remoto de Android
Según un aviso reciente del Synopsys Cybersecurity Research Center (CyRC), han notado numerosas vulnerabilidades de seguridad en varias aplicaciones de teclado remoto de Android. De hecho, las aplicaciones vulnerables incluso incluían una aplicación de mouse remoto.
Específicamente, estas aplicaciones incluyen Lazy Mouse, Telepad y PC Keyboard, que permiten que un dispositivo Android actúe como un teclado o mouse remoto para computadoras. En cuanto a las vulnerabilidades, CyRC ha detectado los siguientes problemas críticos con las aplicaciones.
- CVE-2022-45477 (CVSS 9.8): Esta vulnerabilidad en la aplicación Telepad permitía a usuarios remotos no autenticados ejecutar códigos en el servidor de destino.
- CVE-2022-45479 (CVSS 9.8): Una vulnerabilidad crítica que afecta a la aplicación de teclado de PC que permite a los usuarios remotos no autenticados ejecutar comandos en el servidor de destino.
- CVE-2022-45481 (CVSS 9.8): Una vulnerabilidad de ejecución de código en la aplicación Lazy Mouse que permitía el acceso a usuarios remotos no autenticados. Esta falla existía debido a la falta de un requisito de contraseña en la configuración predeterminada.
- CVE-2022-45482 (CVSS 9.8): La falta de límite de velocidad y el requisito de una contraseña débil en la aplicación Lazy Mouse permitió a los atacantes remotos no autenticados forzar un PIN y ejecutar comandos arbitrarios.
Además, los investigadores también notaron cómo las tres aplicaciones exponían los datos en tránsito a un posible atacante MiTM ubicado entre el servidor y el dispositivo. Observaron Telepad (CVE-2022-45478; CVSS 5.1), teclado de PC (CVE-2022-45480; CVSS 5.1) y ratón perezoso (CVE-2022-45483; CVSS 5.1) que transmite datos confidenciales, incluidas las pulsaciones de teclas, en texto claro.
No hay parches disponibles para las tres aplicaciones
Las vulnerabilidades normalmente existían en Telepad versiones 1.0.7 y anteriores, PC Keyboard versiones 30 y anteriores, y Lazy Mouse versiones 2.0.1 y anteriores. Los investigadores explicaron que a pesar de los múltiples intentos de contactar a los desarrolladores, no obtuvieron respuesta.
Además, las aplicaciones no parecen estar en mantenimiento, lo que significa que las vulnerabilidades ponen en riesgo a los usuarios de aplicaciones activas. Por lo tanto, instan a todos los usuarios a eliminar dichas aplicaciones de sus dispositivos para evitar riesgos potenciales.
Háganos saber sus pensamientos en los comentarios.