通过与 Jira 对比,让您更全面了解 PingCode

  • 首页
  • 需求与产品管理
  • 项目管理
  • 测试与缺陷管理
  • 知识管理
  • 效能度量
        • 更多产品

          客户为中心的产品管理工具

          专业的软件研发项目管理工具

          简单易用的团队知识库管理

          可量化的研发效能度量工具

          测试用例维护与计划执行

          以团队为中心的协作沟通

          研发工作流自动化工具

          账号认证与安全管理工具

          Why PingCode
          为什么选择 PingCode ?

          6000+企业信赖之选,为研发团队降本增效

        • 行业解决方案
          先进制造(即将上线)
        • 解决方案1
        • 解决方案2
  • Jira替代方案

25人以下免费

目录

小心!这些安装了 200 万次的 Android 键盘应用程序可以被远程入侵

Android 远程键盘应用程序

近日,Synopsys 安全研究人员发现,在可以将智能手机用作远程键盘和鼠标的三个 Android 应用程序中存在多个未修补的漏洞。

这些应用程序分别是Lazy MousePC KeyboardTelepad,它们已从 Google Play 商店累计下载超过 200 万次。其中Telepad 不再能通过应用商店下载,但可以从其网站下载。

  • 懒惰鼠标(com.ahmedaay.lazymouse2 和 com.ahmedaay.lazymousepro)
  • PC 键盘 (com.beapps.pckeyboard)
  • Telepad (com.pinchtools.telepad)

虽然这些应用程序通过连接到桌面上的服务器来代替鼠标键盘的运行,但是Synopsys 网络安全研究中心 (CyRC)发现了多达七个与弱身份验证或缺少身份验证、缺少授权和不安全通信相关的缺陷。

简而言之,这些问题(从 CVE-2022-45477 到 CVE-2022-45483)可能会被恶意攻击者利用来执行任意命令,无需身份验证通加载用户的击键来获取敏感信息。

Lazy Mouse 服务器还受到弱密码策略的影响,但其并没有实施速率限制,使远程未经身份验证的攻击者能够轻易地暴力破解 PIN 并执行命令。

更值得注意的是,两年多来这些应用程序没有任何更新,因此用户较好立即删除这些应用程序。

Synopsys 安全研究员 Mohammed Alshehri 表示:这三个应用程序被广泛使用,但它们既没有考虑到用户的隐私安全也没有进行任何迭代,显然,在开发这些应用程序时,安全性并不在他们的设计范围内。

参考来源:https://thehackernews.com/2022/12/watch-out-these-android-keyboard-apps.html

文章来自:https://www.freebuf.com/

相关文章