安卓远程键盘漏洞影响超200万用户

张格

研究人员在3款远程键盘中发现7个安全漏洞，影响超过200万用户。受影响的App分别是PC Keyboard，Lazy Mouse，Telepad，受影响的版本既包括免费版，也包括付费版。漏洞CVE编号分别为：

CVE-2022-45477：是Telepad App中的安全漏洞，CVSS評分9.8分。攻击者利用该漏洞可以在非授权的请求下发送指令给服务器来执行任意代码，而无需认证或授权。

CVE-2022-45478：是Telepad App中的安全漏洞，CVSS评分5.1分。攻击者利用该漏洞可以发起中间人攻击，并读取所有键盘输入。

CVE-2022-45479：是PC Keyboard App中的安全漏洞，CVSS评分9.8分。攻击者利用该漏洞可以在非授权的请求下发送指令给服务器来执行任意代码，而无需认证或授权。

CVE-2022-45480：是PC Keyboard App中的安全漏洞，CVSS评分5.1分。攻击者利用该漏洞可以发起中间人攻击，并读取所有键盘输入。

CVE-2022-45481：是Lazy Mouse App默认配置中缺乏密码要求引发的安全漏洞，CVSS评分9.8分。未经认证的攻击者利用该漏洞能够在无需认证或授权的情况下执行任意代码。

CVE-2022-45482：是Lazy Mouse服务器弱密码要求，没有实现尝试次数限制。攻击者利用该漏洞可以暴力破解PIN码，并执行任意命令。

CVE-2022-45483：是Lazy Mouse App中的安全漏洞，CVSS评分5.1分。攻击者利用该漏洞可以执行中间人攻击，并提取键盘输入。