6 errores no corregidos detectados en Remote Mouse para Android e iOS

Se han detectado hasta seis días cero en una aplicación llamada Remote Mouse, que permite a un atacante remoto lograr la ejecución completa del código sin interacción del usuario.

El investigador de seguridad Axel Persinger descubrió errores no corregidos, llamados colectivamente ‘trampa de ratón’, quien dijo: «Claramente, esta aplicación es muy vulnerable y pone a los usuarios en riesgo de mecanismos de autenticación deficientes, cifrado insuficiente y configuraciones predeterminadas deficientes». configuración.»

Remote Mouse es una aplicación de control remoto para Android e iOS que convierte los teléfonos móviles y las tabletas en un mouse, teclado y panel táctil inalámbricos para computadoras con soporte para entrada de voz, ajuste de volumen de la computadora y cambio entre aplicaciones usando un mouse remoto. servidor instalado en la máquina. La aplicación de Android en sí se ha instalado más de 10 millones de veces.

En resumen, los problemas identificados al analizar los paquetes enviados desde una aplicación de Android a su servicio de Windows podrían permitir que un oponente intercepte la contraseña falsificada de un usuario, hacerlo vulnerable a los ataques de la tabla del arco iris e incluso reproducir los comandos enviados a una computadora.

Un breve resumen de las seis deficiencias es el siguiente:

  • CVE-2021-27569: maximice o minimice la ventana del proceso en ejecución enviando el nombre del proceso en el paquete creado.
  • CVE-2021-27570: termine cualquier proceso en ejecución enviando el nombre del proceso en un paquete especialmente diseñado.
  • CVE-2021-27571: Carga aplicaciones usadas recientemente y en ejecución, sus íconos y rutas de archivos.
  • CVE-2021-27572: Omita la autenticación a través de la reproducción de paquetes, lo que permite a los usuarios remotos no autenticados ejecutar código arbitrario a través de paquetes UDP creados, incluso si se establecen contraseñas.
  • CVE-2021-27573: Ejecutar código arbitrario a través de paquetes UDP creados sin autorización previa o autenticación.
  • CVE-2021-27574: Realice un ataque a la cadena de suministro de software explotando la aplicación para usar HTTP de texto sin formato para verificar y solicitar actualizaciones, lo que lleva a un escenario en el que la víctima podría descargar un archivo binario malicioso en lugar de la actualización real.

Persinger dijo que informó los errores a Remote Mouse el 6 de febrero de 2021, pero señaló que «nunca recibió una respuesta del proveedor», lo que lo obligó a divulgar públicamente los errores después del período de publicación de 90 días. Nos hemos puesto en contacto con los desarrolladores de Remote Mouse y actualizaremos la historia si respondemos.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática