200万人がインストールしたAndroidアプリに脆弱性

外出先やテレワークにもってこい！だと思った200万人がインストールした3つのアプリに、脆弱性が発見されました。

アプリでテレワーク？と思った人もいるかもしれません。
実は私も初めて知ったんですが、スマホでPC画面が覗けたり、操作できたりするので「ちょっとあの資料が・・！」なんて時にはとても便利そうなアプリでした。

今回発見された脆弱性はこちら。
（Synopsys Cyber​​security Research Center (CyRC) ）

CyRC Vulnerability Advisory: Remote code execution vulnerabilities in mouse and keyboard apps

この記事では3つのアプリが記載されていますが、今回はそのうちの１つ「Lazy Mouse」についてお伝えしていきます。

CVE-2022-45481
デフォルト設定はパスワードを必要としないため、リモートの認証されていないユーザーが事前の許可や認証なしで任意のコードを実行できます。

CVE-2022-45482
サーバーは弱いパスワード要件を強制し、レート制限を実装していないため、認証されていないリモート ユーザーが PIN を簡単かつ迅速に総当たり攻撃し、任意のコマンドを実行できます。

CVE-2022-45483
攻撃者 (サーバーと接続されたデバイスの間の中間者の位置) がすべてのデータ (キー押下を含む) を平文で見ることができます。

アプリを通じて遠隔操作されてしまうのももちろん、こちらのキーボード操作がだだ漏れなのも恐ろしいことですよね( ﾟДﾟ)
さらに、そもそもセキュリティを考慮した設計が行われていなかったとの説・・・
プライベートならまだしも、仕事ではとてもじゃないけど使えません＞＜

このレポートでは、すぐに削除するよう呼びかけられています。

★-------------------------------------------★
【アルテミスBP　パートナー様募集！】
セキュリティベンダー様、SIベンダー様、OA機器ディーラー様、通信機器ディーラー様、ソフトウェア開発会社様、xSP様、iDC様など、ネットワークセキュリティ事業を共に展開するパートナー様を広く募集しています。

私たちだからできる「ワンストップサービス」も魅力の１つです！

⇒　専用ページはこちら

★-------------------------------------------★