Synopsys’teki güvenlik araştırmacıları, kullanıcıların bilgisayar sistemlerini Android cihazlarla kontrol etmelerini sağlayan üç Android uygulamasında çok sayıda kritik güvenlik açığı buldu.
Ayrıca, bu kritik güvenlik açıkları, tehdit aktörleri tarafından tuş basımlarını ortaya çıkarmak ve RCE (Uzaktan Kod Yürütme) gerçekleştirmek için kullanılabilir.
Üç uygulama oldukça popüler ve birleştirilmiş durumda iki milyondan fazla indirmeye sahip. Güvenlik açığı bulunan uygulamalar ise: –
- bilgisayar klavyesi
- Tembel Fare
- telepad
Synopsys güvenlik uzmanları tarafından yürütülen araştırma bulguları sonucunda Ağustos 2022’de uygulama geliştiricileri ile paylaşılırken.
Araştırmacılar, Ekim 2022’de yazılım satıcılarıyla tekrar iletişime geçip onlardan yanıt alamayınca nihayet bir güvenlik danışma belgesi yayınladı.
Bu üç uygulamanın, CyRC araştırması tarafından tanıtılan aşağıdaki kusur türlerine sahip olduğu keşfedildi: –
- Eksik kimlik doğrulama mekanizmaları
- Yetkilendirme eksik
- güvensiz iletişim
güvenlik açıkları
Aşağıdakiler, her uygulamayı farklı şekillerde etkileyen kusurlardır: –
| Tanım: Telepad, kimliği doğrulanmamış uzaktaki kullanıcıların, önceden herhangi bir yetkilendirme veya kimlik doğrulaması olmaksızın rasgele kod yürütmeleri için sunucuya talimatlar göndermesine izin verir. CVSS Puanı: 9.8 CVSS 3.1 vektörü: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| Tanım: Telepad, bir saldırganın (sunucu ile bağlı bir cihaz arasında ortadaki adam konumunda) tüm verileri (tuşlara basma dahil) açık metin olarak görmesine olanak tanır. CVSS Puanı: 5.1 CVSS 3.1 vektörü: AV:L/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
| Tanım: PC Klavyesi, kimliği doğrulanmamış uzaktaki kullanıcıların, önceden herhangi bir yetkilendirme veya kimlik doğrulaması olmaksızın rasgele kod yürütmeleri için sunucuya talimatlar göndermesine olanak tanır. CVSS Puanı: 9.8 CVSS 3.1 vektörü: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| Tanım: PC Klavyesi, bir saldırganın (sunucu ile bağlı bir cihaz arasında ortadaki adam konumunda) tüm verileri (tuşa basmalar dahil) açık metin olarak görmesine olanak tanır. CVSS Puanı: 5.1 CVSS 3.1 vektörü: AV:L/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
| Tanım: Lazy Mouse’un varsayılan yapılandırması parola gerektirmez, bu da kimliği doğrulanmamış uzak kullanıcıların önceden yetkilendirme veya kimlik doğrulama olmaksızın rastgele kod yürütmesine izin verir. CVSS Puanı: 9.8 CVSS 3.1 vektörü: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| Tanım: Tembel Fare sunucusu, zayıf parola gereksinimlerini zorunlu kılar ve hız sınırlaması uygulamaz, bu da kimliği doğrulanmamış uzaktaki kullanıcıların PIN’i kolay ve hızlı bir şekilde kaba kuvvet uygulamasına ve rastgele komutlar yürütmesine olanak tanır. CVSS Puanı: 9.8 CVSS 3.1 vektörü: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| Tanım: Tembel Fare, bir saldırganın (sunucu ile bağlı bir cihaz arasında ortadaki adam konumunda) tüm verileri (tuşa basmalar dahil) açık metin olarak görmesine olanak tanır. CVSS Puanı: 5.1 CVSS 3.1 vektörü: AV:L/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
Zaman çizelgesi
- 13 Ağustos 2022: İlk açıklama
- 18 Ağustos 2022: Takip eden iletişim
- 12 Ekim 2022: Son takip iletişimi
- 30 Kasım 2022: Synopsys tarafından yayınlanan danışma belgesi
Öneri
Etkilenen üç uygulamanın da geliştiricileri bu uygulamaların her birini terk etti, başka bir deyişle geliştiriciler artık bu uygulamaları desteklemiyor. Bu nedenle, terkedilmiş yazılımın tanım kriterlerini karşılıyorlar.
Bu uygulamaların sürekli kullanımı hassas bilgileri riske atabilir ve bunların ifşa olma olasılığı yüksektir. Ayrıca, uzaktaki saldırganların bu kritik güvenlik açıklarından yararlanmayı başarmaları halinde cihazda rasgele kod çalıştırma olasılığı da vardır.
Herhangi bir alternatif uygulama yüklemeden önce gizlilik bildirimini dikkatlice okuduğunuzdan emin olun. Ek olarak, kullanıcılar herhangi bir alternatif uygulama yüklemeden önce uygulama incelemelerini ve son güncelleme tarihini kontrol etmelidir.
Şimdilik, CyRC tarafından, daha fazla istismarı önlemek için bu savunmasız uygulamaların mümkün olan en kısa sürede kaldırılması yönünde güçlü bir tavsiye var.
Hizmet Olarak Sızma Testi – Red Team ve Blue Team Workspace’i İndirin