Synopsysは11月30日(米国時間)、「CyRC Vulnerability Advisory: Remote code execution vulnerabilities in mouse and keyboard apps|Synopsys」において、Androidデバイスをリモートキーボードまたはマウスとして使用できるようにする3つのAndroidアプリに複数の脆弱性があることを公表した。発見されたこれらのアプリはデスクトップまたはノートパソコン上のサーバと接続し、マウスまたはキーボードのイベントをサーバに送信する機能が提供されている。

CyRC Vulnerability Advisory: Remote code execution vulnerabilities in mouse and keyboard apps|Synopsys

欠陥が見つかった問題のアプリは「Lazy Mouse」、「Telepad」、「PC Keyboard」の3つ。いずれもGoogle Playストアに掲載され、ダウンロード数は無料版および有料版あわせて合計で200万を超えていると報告されている。

CyRCの調査により、認証機構の脆弱性または欠落、承認の欠落、安全でない通信の脆弱性など複数のセキュリティ上の欠陥がこれらアプリに存在していることが明らかにされている。認証や認可の脆弱性が悪用された場合、リモートの未認証の攻撃者が任意のコマンドを実行できる危険性がある。また安全ではない通信の脆弱性を悪用された場合、ユーザー名やパスワードなどの機密情報を含むユーザーのキーストロークが公開されてしまうリスクがあるという。

マウスとキーボードのアプリケーションは、さまざまなネットワークプロトコルを用いて、マウスやキーストロークの指示をやり取りしている。発見された脆弱性はすべて認証・認可・送信の実装に関連しているが、各アプリケーションの障害メカニズムは異なっていることが判明している。認証の回避やリモートでのコード実行を可能にする脆弱性が発見されているが、すべてに適用される単一の悪用方法は見つけられなかったと伝えられている。

3つのアプリはメンテナンスもサポートもされておらず、セキュリティが考慮されていなかったと指摘されており、直ちに削除することが推奨されている。