- Publicité -


Application de clavier à distance Android

Plusieurs vulnérabilités non corrigées ont été découvertes dans trois applications Android qui permettent d’utiliser un smartphone comme clavier et souris à distance.

Les applications en question sont Souris paresseuse, Clavier d’ordinateuret Télépad, qui ont été téléchargés plus de deux millions de fois depuis le Google Play Store. Telepad n’est plus disponible sur le marché des applications mais peut être téléchargé à partir de son site Web.

- Publicité -
  • Souris paresseuse (com.ahmedaay.lazymouse2 et com.ahmedaay.lazymousepro)
  • Clavier PC (com.beapps.pckeyboard)
  • Télépad (com.pinchtools.telepad)

Alors que ces applications fonctionnent en se connectant à un serveur sur un ordinateur de bureau et en lui transmettant les événements de la souris et du clavier, le Synopsys Cybersecurity Research Center (CyRC) trouvé jusqu’à sept failles liées à une authentification faible ou manquante, à une autorisation manquante et à une communication non sécurisée.

La cyber-sécurité

Les problèmes (de CVE-2022-45477 à CVE-2022-45483), en un mot, pourraient être exploités par un acteur malveillant pour exécuter des commandes arbitraires sans authentification ou récolter des informations sensibles en exposant les frappes des utilisateurs en texte clair.

Le serveur Lazy Mouse souffre en outre d’une politique de mot de passe faible et n’implémente pas de limitation de débit, permettant à des attaquants distants non authentifiés de forcer trivialement le code PIN et d’exécuter des commandes malveillantes.

Il convient de noter qu’aucune des applications n’a reçu de mises à jour depuis plus de deux ans, ce qui rend impératif que les utilisateurs suppriment les applications avec effet immédiat.

“Ces trois applications sont largement utilisées mais elles ne sont ni maintenues ni prises en charge, et de toute évidence, la sécurité n’était pas un facteur lorsque ces applications ont été développées”, a déclaré Mohammed Alshehri, chercheur en sécurité chez Synopsys.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.



Rate this post
Avatar
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici