Plusieurs vulnérabilités non corrigées ont été découvertes dans trois applications Android qui permettent d’utiliser un smartphone comme clavier et souris à distance.
Les applications en question sont Souris paresseuse, Clavier d’ordinateuret Télépad, qui ont été téléchargés plus de deux millions de fois depuis le Google Play Store. Telepad n’est plus disponible sur le marché des applications mais peut être téléchargé à partir de son site Web.
- Souris paresseuse (com.ahmedaay.lazymouse2 et com.ahmedaay.lazymousepro)
- Clavier PC (com.beapps.pckeyboard)
- Télépad (com.pinchtools.telepad)
Alors que ces applications fonctionnent en se connectant à un serveur sur un ordinateur de bureau et en lui transmettant les événements de la souris et du clavier, le Synopsys Cybersecurity Research Center (CyRC) trouvé jusqu’à sept failles liées à une authentification faible ou manquante, à une autorisation manquante et à une communication non sécurisée.
Les problèmes (de CVE-2022-45477 à CVE-2022-45483), en un mot, pourraient être exploités par un acteur malveillant pour exécuter des commandes arbitraires sans authentification ou récolter des informations sensibles en exposant les frappes des utilisateurs en texte clair.
Le serveur Lazy Mouse souffre en outre d’une politique de mot de passe faible et n’implémente pas de limitation de débit, permettant à des attaquants distants non authentifiés de forcer trivialement le code PIN et d’exécuter des commandes malveillantes.
Il convient de noter qu’aucune des applications n’a reçu de mises à jour depuis plus de deux ans, ce qui rend impératif que les utilisateurs suppriment les applications avec effet immédiat.
« Ces trois applications sont largement utilisées mais elles ne sont ni maintenues ni prises en charge, et de toute évidence, la sécurité n’était pas un facteur lorsque ces applications ont été développées », a déclaré Mohammed Alshehri, chercheur en sécurité chez Synopsys.