Alcuni esperti di sicurezza hanno individuato ben tre app che presentano delle falle che potrebbero essere sfruttate per attaccare e compromettere gli smartphone.
Gli autori della scoperta sono i ricercatori del Synopsys Cybersecurity Research Center che hanno segnalato ben tre tastiere per Android. Purtroppo, come spesso avviene in questi casi, le tre app sono già state scaricate da circa due milioni di utenti. Le app in questione sono Lazy Mouse, PC Keyboard e Telepad; la loro funzione è quella di connettersi a un pc fisso e agire come mouse e tastiera da remoto. I suddetti ricercatori, analizzando queste tre app, hanno individuato tutta una serie di falle a carico dei sistemi di autenticazione (deboli o del tutto assenti) e vulnerabilità nei sistemi di comunicazione.
Nel report dell’analisi si legge:
"Lo sfruttamento delle vulnerabilità di autenticazione e autorizzazione potrebbe consentire ad aggressori non autenticati di eseguire comandi arbitrari da remoto. Allo stesso modo, lo sfruttamento della vulnerabilità della comunicazione insicura espone le sequenze di tasti premute dall'utente, rendendo note anche informazioni sensibili come nomi utente e password".
A complicare ulteriormente la questione è quanto rilevato dal centro di sicurezza: le tre app, sebbene colpite da falle simili di fatto presentavano errori di sviluppo diverse l’una dall’altra. Nello stesso report i ricercatori fanno infatti presente che:
“Sebbene le vulnerabilità siano tutte correlate alle implementazioni di autenticazione, autorizzazione e trasmissione, ciascuna applicazione presenta falle di diverso tipo. Il Synopsys Cybersecurity Research Center ha rilevato vulnerabilità che consentono il bypass dell'autenticazione e l'esecuzione di codice in modalità remota nelle tre applicazioni, ma non ha trovato un singolo metodo di sfruttamento che si applichi a tutte e tre”.
Più nel dettaglio il report Synopsys Cybersecurity Research Center ha elencato le diverse vulnerabilità critiche rilevate:
- CVE-2022-45477: Telepad consente agli utenti remoti non autenticati di inviare istruzioni al server per eseguire codice arbitrario senza alcuna autorizzazione o autenticazione preventiva.
- CVE-2022-45479: PC Keyboard consente agli utenti remoti non autenticati di inviare istruzioni al server per eseguire codice arbitrario senza alcuna autorizzazione o autenticazione preventiva.
- CVE-2022-45481: La configurazione predefinita di Lazy Mouse non richiede una password, consentendo agli utenti remoti non autenticati di eseguire codice arbitrario senza previa autorizzazione o autenticazione.
- CVE-2022-45482: Il server Lazy Mouse applica requisiti di password deboli e non implementa la limitazione della velocità, consentendo agli utenti remoti non autenticati di forzare facilmente e rapidamente il PIN ed eseguire comandi arbitrari.
La scoperta delle vulnerabilità, e la relativa comunicazione, risale al 13 agosto scorso. Ma il Synopsys Cybersecurity Research Center ha pubblicato solo oggi l'avviso perché non ha ancora ricevuto una risposta dai team di sviluppo dietro queste app: la procedura interna del centro di sicurezza prevede infatti un tempo di attesa di 90 giorni prima che le criticità individuate vengano rese note al pubblico.
In attesa di una risposta da parte degli sviluppatori, noi vi consigliamo di controllare se avete installato una o più delle tre app in questione e rimuoverle quanto prima dai vostri device, così da evitare ogni possibile rischio.