سه برنامه اندروید با میلیون ها دانلود در فروشگاه گوگل پلی دارای چندین مشکل بودند که به مهاجمان اجازه می داد دستورات را از راه دور اجرا کنند و اعتبارنامه ها را سرقت کنند.
سه برنامه صفحه کلید و ماوس دستگاههای اندرویدی، Lazy Mouse)، Telepad و (PC Keyboard با آسیبپذیریهای مهمی مواجه بودند که کاربران را در خطر از دست دادن اطلاعات خود قرار میداد. نسخه رایگان و پولی هر سه برنامه نزدیک به دو میلیون دانلود دارد.
این برنامهها به گونهای طراحی شدهاند که کاربران را قادر میسازد از دستگاه اندرویدی خود بهعنوان یک صفحه کلید و ماوس از راه دور هنگام اتصال به رایانه یا دستگاه دیگری استفاده کنند.
با این حال، تیم مرکز تحقیقات امنیت سایبری (CyRC) مکانیسمهای احراز هویت و مجوز ضعیف یا حتی از دست رفته و آسیبپذیریهای ارتباطی ناامن را کشف کردند.
در پست وبلاگ CyRC آمده است «سوء استفاده از آسیبپذیریهای احراز هویت و مجوز میتواند به مهاجمان احراز هویت نشده از راه دور اجازه دهد تا دستورات دلخواه را اجرا کنند. به طور مشابه، سوء استفاده از آسیبپذیری ارتباطی ناامن، ضربههای کلید کاربر، از جمله اطلاعات حساس مانند نامهای کاربری و رمز عبور را در معرض نمایش قرار میدهد.»
اگرچه محققان ادعا میکنند که آسیبپذیریها به حوزههای مشابهی از احراز هویت، مجوز و پیادهسازی انتقال مربوط میشوند، مکانیسم خرابی هر برنامه متفاوت تلقی میشود. این بدان معناست که هر سه برنامه برای سوء استفاده از معایب خود به اکسپلویت های مختلفی نیاز دارند.
محققان خاطرنشان کردند که چندین بار با توسعه دهندگان اپلیکیشن تماس گرفتند اما هیچ پاسخی دریافت نکردند. نویسندگان گزارش خاطرنشان می کنند که در حالی که برنامه ها به طور گسترده استفاده می شوند، به روز رسانی یا نگهداری نمی شوند.