Aplikácie s viac ako 2-miliónmi stiahnutiami majú vážne chyby. Používatelia môžu prísť o svoje dáta. Vymažte ich!
Chyby v aplikáciách na ovládanie klávesnice a myši pre Android umožňujú útočníkovi dostať sa do smartfónu a ovládať ho alebo špehovať.
Len niekoľko dní dozadu vyplávalo na povrch, že viacerým výrobcom hardvéru unikli „podpisy aplikácií“, prostredníctvom ktorých môžu hackeri prakticky ovládať telefón obete. Pre tých, ktorí nevedia, tak tieto podpisy sa často využívajú i na podpisovanie predinštalovaných aplikácií v telefóne, ktoré vo všeobecnosti majú väčšie oprávnenia v porovnaní s ostatnými aplikáciami. Ak útočník podpíše svoju aplikáciu týmito podpismi, tak môže získať vyššie oprávnenia, pomocou ktorých je schopný vykonávať v telefóne zmeny.
New APVI entry: platform certificates used to sign malware
Found by yours truly 🙂https://t.co/qiFMJW111A
— Łukasz (@maldr0id@infosec.exchange) (@maldr0id) November 30, 2022
Podľa dostupných informácií, jedným z hriešnikov bol aj Samsung, ktorému tieto certifikáty unikli. No nejde o jedinú spoločnosť, ktorá v nevedomosti vystavila svojich používateľov v bezpečnostné riziko.
3 populárne aplikácie otvárajú hackerom dvere do smartfónu
Tentokrát na ďalšie chyby vo softvéri poukazujú analytici zo spoločnosti synopsys.com. Ide konkrétne o 3 pomerne populárne aplikácie, ktoré obsahujú závažné zraniteľnosti. Menovite ide o aplikácie Lazy Mouse, Telepad a PC Keyboard. Aplikácie boli navrhnuté tak, aby umožnili používateľom používať svoje zariadenie Android ako vzdialenú klávesnicu a myš pri pripojení k počítaču alebo inému zariadeniu. Najhoršie na tom ale je, že tieto aplikácie majú v súčte cez dva milióny stiahnutí. Môžeme preto povedať, že v ohrození je pomerne veľký počet používateľov.
Výskumníci odhalili hneď niekoľko slabých miest, a to chýbajúce autentifikačné mechanizmy, chýbajúcu autorizáciu a nezabezpečenú komunikáciu medzi zariadeniami. Tieto zraniteľnosti umožňujú potenciálnemu útočníkovu vykonávať v telefóne rôzne úlohy prostredníctvom vzdialeného servera. Rovnako útočník môže aj zaznamenávať kliknutia klávesov, čo môže viesť k úniku citlivých údajov.
Neprehliadnite
„Zneužitie zraniteľnosti autentifikácie a autorizácie by mohlo umožniť vzdialeným neovereným útočníkom vykonávať ľubovoľné príkazy. Zneužitie nezabezpečenej komunikácie odhaľuje stlačenie klávesov používateľa vrátane citlivých informácií, ako sú používateľské mená a heslá.“, opisujú experti možné hrozby.
Vývojári aplikácií na vzniknutú situáciu nereagovali
Aplikácie myši a klávesnice používajú rôzne sieťové protokoly na výmenu inštrukcií myši a klávesov, vysvetľujú bezpečnostní analytici. Ďalej dopĺňajú, že hoci všetky zraniteľnosti súvisia s implementáciou autentifikácie, autorizácie a prenosu, mechanizmus zlyhania každej aplikácie je odlišný. To znamená, že všetky tri aplikácie potrebujú rôzne sekvencie príkazov, aby bol útočník schopný zneužiť chyby vo softvéri. Výskumníci v publikovanej správe ďalej tvrdia, že o chybách stihli už informovať vývojárov, no tí na vzniknutú situáciu nereagovali. Zároveň hovoria, že aplikácie neboli dlhšiu dobu aktualizované. Preto apelujú na používateľov, aby dali od týchto aplikácií ruky preč a pozreli sa po inej alternatíve. Ak tak nespravia, tak sa vystavujú potenciálnej hrozbe úniku dát, či nabúraniu sa do smartfónu alebo počítača.
Komentáre