Разделы

ПО Софт Безопасность Пользователю Техника

Android наводнили «дырявые» приложения, ворующие пароли и переписку. Под ударом миллионы пользователей

В каталоге Google Play найдены утилиты, скачанные миллионы раз, которые хакеры могут использовать для кражи паролей и личной переписки. В них содержатся в сумме семь опасных уязвимостей, но разработчики годами не устраняют их. Объем украденной при помощи этих утилит информации может оказаться гигантским.

Опасность пришла, откуда не ждали

Владельцы смартфонов на базе ОС Android столкнулись с новой напастью – в каталоге Google Play обрели популярность приложения, из-за халатности разработчиков позволяющие следить за всем, что пользователь набирает на виртуальной клавиатуре.

Речь о трех приложениях, превращающих умный мобильник в виртуальную клавиатуру или не менее виртуальную мышь для управления компьютером. По данным компании Synopsys из сферы кибербезопасности, опасными являются утилиты Lazy Mouse, PC Keyboard и Telepad, набравшие в сумме более 2 млн скачиваний из Google Play на декабрь 2022 г.

В этих трех программах в сумме содержатся семь очень опасных уязвимостей, но, что особенно важно, разработчики приложений совершенно не собираются их исправлять. Эксперты Synopsys неоднократно пытались выйти с ними на связь, но те так и не отреагировали на сообщения и уведомления.

prog600.jpg
Andoid - далеко не тихая гавань. Вредоносов и «дырявых» утилит под этой ОС ничуть не меньше, чем под Windows

Устав ждать, Synopsys выложила в Сеть информацию об огромных «дырах» в столь популярных приложениях. На момент публикации материала на информацию об опасности не реагировала и Google – все три программы были доступны для скачивания, по меньшей мере, в российском сегменте Google Play.

Заброшенные приложения

Эксперты Synopsys настоятельно рекомендуют пользователям удалить Lazy Mouse, PC Keyboard и Telepad, поскольку вероятность скорого выхода обновлений, в которых разработчики закроют все «дыры», стремится к нулю. Во-первых, авторы неделями не выходят на связь, во-вторых, свои программы они, похоже, давно забросили. Например, PC Keyboard не обновлялась с лета 2020 г., а Lazy Mouse в последний раз получала апдейты и вовсе в январе 2019 г.

Объем конфиденциальной информации пользователей, будь то переписка в мессенджерах, пароли или что-либо еще, утекший через эти программы, еще предстоит уточнить. Но если они не обновляются годами, он, объем, может весьма удивить своими размерами.

Семь – несчастливое число

Эксперты Synopsys выявили в Lazy Mouse, PC Keyboard и Telepad четыре «дыры» критического уровня с оценкой опасности 9,8 балла из 10 по шкале CVSS. Еще три получили средний уровень опасности и рейтинг 5,1 из 10.

Google Play - рассадник древних приложений, с виду безвредных, но на деле крайне опасных

В программе Telepad нашлась уязвимость CVE-2022-45477 с оценкой 9,8 балла. Она дает возможность выполнять на устройстве любой нужный ему код. Брешь CVE-2022-45479 с таким же уровнем опасности и такими же свойствами обнаружилась в PC Keyboard.

Мобильное приложение как главная точка формирования клиентского опыта
ПО

Оставшееся две «дыры» критического уровня опасности (9,8 из 10) содержатся в Lazy Mouse. Это в первую очередь CVE-2022-45481 – а приложении не требуется устанавливать пароль пользователя, что позволяет выполнять в нем любой код без авторизации. Вторая брешь имеет индекс CVE-2022-45482. Ее суть в том, что серверная часть Lazy Mouse применяет слабые требования к паролю и не реализует ограничение скорости, что позволяет удаленным пользователям, не прошедшим проверку подлинности, легко и быстро подобрать ПИН-код. Другими словами, приложение уязвимо к брутфорсу.

Оставшиеся три уязвимости имеют менее высокий рейтинг опасности (5,1 из 10), но в теории могут нанести пользователю гораздо больший вред. Брешь CVE-2022-45478 содержится в Telepad и позволяет хакерам с успехом проводить атаки типа «Человек посередине» (MITM). В результате они смогут перехватывать все, что пользователь набирает на клавиатуре.

Идентичные по своим свойствам «дыры» содержатся и в двух других программах – по одной на каждую. В PC Keyboard это CVE-2022-45480, в Lazy Mouse – CVE-2022-45483.

А в ответ тишина

Эксперты Synopsys объяснили, почему идентичным уязвимостям были присвоены разные идентификаторы. По их словам, несмотря на то, что все уязвимости связаны с реализациями аутентификации, авторизации и передачи данных, механизм использования каждой из них отличается от другого. Специалисты компании не выявили единого метода эксплуатации «дыр», применимого ко всем трем приложениям одновременно.

Алексей Печенкин, Новикомбанк: Изменение ландшафта киберугроз будет напоминать «битву киберинтеллектов»
Безопасность

Факт наличия брешей в перечисленных программах в Synopsys обнаружили 13 августа 2022 г. Они тут же связались с разработчиками, но не получили обратной связи. 18 августа 2022 г. была предпринята повторная попытка контакта с авторами утилит, вновь провальная. 12 октября 2022 г. состоялась третья попытка, но и она не принесла требуемого результата.

Эксперты Synopsys подождали еще полтора месяца и 30 ноября 2022 г. рассказали о «дырявых» программах Lazy Mouse, PC Keyboard и Telepad всему интернету. На момент публикации материала их разработчики так и не выпустили апдейты к ним, а Google не удалила их из своего каталога.

Евгений Черкесов