Tres aplicaciones de Android que permiten a los usuarios utilizar dispositivos como teclados remotos para sus equipos cuentan con vulnerabilidades críticas. Estas pueden dejar expuestas las pulsaciones de las teclas y permitir la ejecución remota de código.
Se trata de las apps para Android de PC Keyboard, Lazu Mouse y Telepad, tanto en su versión gratuita como de pago, que ya cuentan en Android con más de 2 millones de descargas.
Sin embargo, no se trata de vulnerabilidades recientes. El pasado mes de agosto, los analistas de Synopsys, ya alertaron de estos riesgos y, tras intentar contactar con los proveedores de estas apps en octubre sin éxito, han publicado la alerta de seguridad.
Con estos errores críticos de RCE (ejecución remota de código), un actor malicioso puede tener acceso a las pulsaciones del teclado y ejecutar código malicioso.
De acuerdo con estos expertos, este es el listado de las vulnerabilidades que afectan a cada aplicación.
CVE-2022-45477 (índice de gravedad 9.8). Es un error en Telepad que permite que un usuario remoto no autenticado envíe instrucciones al servidor para ejecutar código arbitrario sin necesidad de autorización o autenticación.
CVE-2022-45478 (gravedad 5.1). Se trata de un error en Telepad que permite a un atacante realizar un ataque man in the middle (MITM), esto es interceptando mensajes o conversaciones, y leer todas las pulsaciones de teclas en texto sin cifrar.
CVE-2022-45479 (gravedad 9,8). Consiste en un flujo de teclado de PC que permite a un usuario remoto no autenticado enviar instrucciones al servidor para ejecutar código arbitrario sin necesidad de autorización o autenticación.
CVE-2022-45480 (gravedad 5.1). Es un error del teclado de la PC que permite a un atacante realizar un ataque de intermediario (man in the middle) y leer todas las pulsaciones de teclas en texto no cifrado.
CVE-2022-45481 (gravedad 9.8). En este caso, la falta de requisito de contraseña en la configuración predeterminada de Lazy Mouse que permite a los usuarios remotos no autenticados ejecutar código arbitrario sin necesidad de autorización o autenticación.
CVE-2022-45482 (9.8). La debilidad del servidor Lazy Mouse impone requisitos de contraseña débiles sin implementar una limitación de velocidad, lo que permite a los atacantes no autenticados forzar el PIN y ejecutar comandos arbitrarios.
CVE-2022-45483 (gravedad 5.1). Esta vulnerabilidad en Lazy Mouse permite que un atacante realice un ataque de intermediario y lea todas las pulsaciones de teclas en texto claro.
Aplicaciones alternativas
Junto a estas vulnerabilidades hay que tener en cuenta que los desarrolladores ya no mantienen ni dan soporte a ninguna de las tres aplicaciones afectadas, por lo que cumplen con los criterios para definirlos como «software abandonado».
Continuar utilizando estas aplicaciones conlleva un riesgo significativo que puede exponer información confidencial, y cualquier tipo de datos. Una explotación exitosa también podría permitir que los atacantes remotos ejecuten código arbitrario en el dispositivo.
Aquellos usuarios que ya tengan estas aplicaciones instaladas, es recomendable que la eliminen completamente de sus dispositivos. En Google Play se pueden encontrar muchas otras aplicaciones de teclado remoto, muy bien valoradas por los usuarios y que no entrañan los riesgos de estas tres.
No obstante, antes de instalar una aplicación alternativa, es importante revisar las reseñas de los usuarios, leer atentamente la política de privacidad y verificar la fecha de la última actualización. Y siempre que sea posible, intentar confirmar que los datos que se intercambian estén encriptados.