¡Cuidado! Estas aplicaciones de teclado de Android pueden piratear de forma remota
Lazy Mouse, PC Keyboard y Telepad tienen más de 2 millones de instalaciones
Se han descubierto múltiples vulnerabilidades sin parchear en tres aplicaciones de Android que permiten usar un teléfono inteligente como teclado y mouse remotos.
Las aplicaciones en cuestión son Lazy Mouse, PC Keyboard y Telepad, que se han descargado acumulativamente más de dos millones de veces desde Google Play Store. Telepad ya no está disponible a través del mercado de aplicaciones, pero se puede descargar desde su sitio web.
• Lazy Mouse (com.ahmedaay.lazymouse2 y com.ahmedaay.lazymousepro)
• PC Keyboard (com.beapps.pckeyboard)
• Telepad (com.pinchtools.telepad)
Si bien estas aplicaciones funcionan conectándose a un servidor en una computadora de escritorio y transmitiéndole los eventos del mouse y el teclado, el Centro de Investigación de Ciberseguridad de Synopsys (CyRC) encontró hasta siete fallas relacionadas con autenticación débil o faltante, autorización faltante y comunicación insegura.
Los problemas (desde CVE-2022-45477 hasta CVE-2022-45483), en pocas palabras, podrían ser explotados por un actor malicioso para ejecutar comandos arbitrarios sin autenticación o recopilar información confidencial al exponer las pulsaciones de teclas de los usuarios en texto sin cifrar.
El servidor Lazy Mouse sufre además de una política de contraseña débil y no implementa límites de velocidad, lo que permite a los atacantes remotos no autenticados forzar el PIN de manera trivial y ejecutar comandos no autorizados.
Vale la pena señalar que ninguna de las aplicaciones ha recibido actualizaciones durante más de dos años, por lo que es imperativo que los usuarios eliminen las aplicaciones con efecto inmediato.
"Estas tres aplicaciones se usan ampliamente, pero no reciben mantenimiento ni soporte y, evidentemente, la seguridad no fue un factor cuando se desarrollaron estas aplicaciones", dijo el investigador de seguridad de Synopsys, Mohammed Alshehri.
