تقی حسن زاده، پایگاه خبری دانا، سرویس دانش و فناوری؛ علاوه بر این، این آسیبپذیریهای حیاتی میتوانند توسط هکرها برای افشای فشارهای کلیدی و اجرای RCE (اجرای کد از راه دور) مورد سوء استفاده قرار گیرند.
چندین آسیبپذیری حیاتی توسط محققان امنیتی در سه برنامه اندروید کشف شده است که کاربران را قادر میسازد تا سیستمهای رایانهای را با دستگاههای اندرویدی کنترل کنند.
علاوه بر این، این آسیبپذیریهای حیاتی میتوانند توسط هکرها برای افشای فشارهای کلیدی و اجرای RCE (اجرای کد از راه دور) مورد سوء استفاده قرار گیرند.
این سه برنامه بسیار محبوب هستند و بیش از دو میلیون بار دانلود شده اند . این برنامه ها که آسیب پذیر هستند عبارتند از:
- PC Keyboard
- Lazy Mouse
- Telepad
این سه برنامه دارای انواع نقص های زیر هستند که توسط تحقیقات کارشناسان معرفی شده اند:
مکانیسم های احراز هویت از دست رفته است
مجوز از دست رفته است
ارتباط ناامن
آسیب پذیری ها
موارد زیر نقص هایی هستند که هر برنامه را به روش های مختلف تحت تأثیر قرار می دهند:
شناسه CVE: CVE-2022-45477
توضیحات: Telepad به کاربران بدون احراز هویت از راه دور اجازه می دهد تا دستورالعمل هایی را برای اجرای کد دلخواه بدون هیچ گونه مجوز قبلی یا احراز هویت به سرور ارسال کنند.
امتیاز CVSS: 9.8
بردار CVSS 3.1: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
شناسه CVE: CVE-2022-45478
توضیحات: Telepad به مهاجم اجازه میدهد (در موقعیت مرد وسط بین سرور و دستگاه متصل) تمام دادهها (از جمله فشار دادن کلیدها) را به صورت متن شفاف ببیند.
امتیاز CVSS: 5.1
بردار CVSS 3.1: AV:L/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
شناسه CVE: CVE-2022-4547
توضیحات: صفحه کلید PC به کاربران غیر احراز هویت از راه دور اجازه می دهد تا دستورالعمل هایی را به سرور ارسال کنند تا کد دلخواه را بدون هیچ گونه مجوز قبلی یا احراز هویت اجرا کنند.
امتیاز CVSS: 9.8
بردار CVSS 3.1: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
شناسه CVE: CVE-2022-45480
توضیحات: صفحه کلید رایانه شخصی به مهاجم اجازه می دهد (در موقعیت مرد در وسط بین سرور و دستگاه متصل) تمام داده ها (از جمله فشار دادن کلیدها) را به صورت متن شفاف ببیند.
امتیاز CVSS: 5.1
بردار CVSS 3.1: AV:L/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
شناسه CVE: CVE-2022-45481
توضیحات: پیکربندی پیشفرض Lazy Mouse نیازی به رمز عبور ندارد و به کاربران احراز هویت نشده از راه دور اجازه میدهد تا کد دلخواه را بدون مجوز یا احراز هویت قبلی اجرا کنند.
امتیاز CVSS: 9.8
بردار CVSS 3.1: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
شناسه CVE: CVE-2022-45482
توضیحات: سرور Lazy Mouse الزامات رمز عبور ضعیف را اعمال میکند و محدودیت نرخ را اجرا نمیکند، و به کاربران احراز هویت نشده از راه دور اجازه میدهد تا به راحتی و به سرعت پین را به صورت بیرحمانه اعمال کنند و دستورات دلخواه را اجرا کنند.
امتیاز CVSS: 9.8
بردار CVSS 3.1: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
شناسه CVE: CVE-2022-45483
توضیحات: Lazy Mouse به مهاجم اجازه می دهد (در موقعیت مرد وسط بین سرور و دستگاه متصل) تمام داده ها (از جمله فشار دادن کلیدها) را به صورت متن واضح ببیند.
امتیاز CVSS: 5.1
بردار CVSS 3.1: AV:L/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
توصیه
توسعه دهندگان هر سه برنامه آسیب دیده هر یک از این برنامه ها را رها کرده اند، به عبارت دیگر، توسعه دهندگان دیگر از این برنامه ها پشتیبانی نمی کنند. به همین دلیل است که آنها معیارهای تعریف abandonware را دارند.
استفاده مداوم از این برنامهها ممکن است اطلاعات حساس را در معرض خطر قرار دهد و احتمال فاش شدن آنها زیاد است. همچنین این احتمال وجود دارد که مهاجمان از راه دور در صورت موفقیت در سوء استفاده از این آسیب پذیری های حیاتی، کد دلخواه را روی دستگاه اجرا کنند.
اطمینان حاصل کنید که بیانیه حریم خصوصی را به دقت بخوانید قبل از نصب هر برنامه جایگزین. علاوه بر این، کاربران باید قبل از نصب هر برنامه جایگزین، بررسی های برنامه را بررسی کرده و تاریخ آخرین به روز رسانی را بررسی کنند.
در حال حاضر، یک توصیه قوی توسط کارشناسان برای حذف این برنامه های کاربردی آسیب پذیر در اسرع وقت برای جلوگیری از هرگونه سوء استفاده وجود دارد.
