كشف الباحثون عن ستة ثغرات يوم صفر في تطبيق “الماوس عن بُعد” تسمح للمهاجمين بتنفيذ أكواد خبيثة عن بُعد بشكل كامل دون حاجة لتفاعل المستخدم، مما يعرض الأجهزة لخطر اختراق خطير.
العيوب غير المذهلة ، المسماة بشكل جماعي “فخ الماوس ،“تم الكشف عن يوم الأربعاء من قبل باحث الأمن أكسل بيرسنجر ، الذي قال:” من الواضح أن هذا التطبيق ضعيف للغاية ويعرض المستخدمين للخطر مع آليات المصادقة السيئة ، ونقص التشفير ، والتكوين الافتراضي الافتراضي. “
الماوس البعيد هو تطبيق تحكم عن بُعد لنظام Android و iOS الذي يحول الهواتف المحمولة والأجهزة اللوحية إلى الماوس اللاسلكي ولوحة المفاتيح ولوحة التتبع لأجهزة الكمبيوتر ، مع دعم الكتابة الصوتية ، وضبط حجم الكمبيوتر ، والتبديل بين التطبيقات بمساعدة خادم الماوس البعيد المثبت على الجهاز. تم تثبيت تطبيق Android وحده أكثر من 10 ملايين مرة.
باختصار ، يمكن أن تسمح المشكلات ، التي تم تحديدها من خلال تحليل الحزم المرسلة من تطبيق Android إلى خدمة Windows ، للخصم باعتراض كلمة مرور المستخدم ، مما يجعلها عرضة لها طاولة قوس قزح الهجمات وحتى إعادة تشغيل الأوامر المرسلة إلى الكمبيوتر.
https://www.youtube.com/watch؟v=1CES8T2XACK
ملخص سريع للعيوب الست هو كما يلي –
- CVE-2021-27569: تعظيم أو تقليل نافذة عملية التشغيل عن طريق إرسال اسم العملية في حزمة مصنوعة.
- CVE-2021-27570: أغلق أي عملية تشغيل عن طريق إرسال اسم العملية في حزمة مصنوعة خصيصًا.
- CVE-2021-27571: استرداد التطبيقات المستخدمة مؤخرًا وتشغيلها ورموزها ومسارات ملفاتها.
- CVE-2021-27572: تجاوز المصادقة عن طريق إعادة تشغيل الحزمة ، مما يسمح للمستخدمين عن بُعد غير مصادقين بتنفيذ التعليمات البرمجية التعسفية عبر حزم UDP المصنوعة حتى عند تعيين كلمات المرور.
- CVE-2021-27573: تنفيذ التعليمات البرمجية التعسفية عبر حزم UDP المصنوعة بدون إذن أو مصادقة مسبقة.
- CVE-2021-27574: قم بتنفيذ هجوم سلسلة توريد البرامج من خلال الاستفادة من استخدام التطبيق لـ ClearText HTTP للتحقق من التحديثات وطلبها ، مما يؤدي إلى سيناريو حيث يمكن للضحية تنزيل ثنائي ضار بدلاً من التحديث الحقيقي.
قال بيرسنجر إنه أبلغ عن العيوب بالماوس البعيد في 6 فبراير 2021 ، لكنه أشار إلى أنه “لم يتلق أبدًا رد من البائع” ، مما أجبره على الكشف علنًا عن الحشرات بعد الموعد النهائي للكشف عن 90 يومًا. لقد تواصلنا مع مطوري الماوس عن بعد ، وسنقوم بتحديث القصة إذا سمعنا.
كشف الباحثون عن ستة ثغرات يوم صفر في تطبيق “الماوس عن بُعد” تسمح للمهاجمين بتنفيذ أكواد خبيثة عن بُعد بشكل كامل دون حاجة لتفاعل المستخدم، مما يعرض الأجهزة لخطر اختراق خطير.
العيوب غير المذهلة ، المسماة بشكل جماعي “فخ الماوس ،“تم الكشف عن يوم الأربعاء من قبل باحث الأمن أكسل بيرسنجر ، الذي قال:” من الواضح أن هذا التطبيق ضعيف للغاية ويعرض المستخدمين للخطر مع آليات المصادقة السيئة ، ونقص التشفير ، والتكوين الافتراضي الافتراضي. “
الماوس البعيد هو تطبيق تحكم عن بُعد لنظام Android و iOS الذي يحول الهواتف المحمولة والأجهزة اللوحية إلى الماوس اللاسلكي ولوحة المفاتيح ولوحة التتبع لأجهزة الكمبيوتر ، مع دعم الكتابة الصوتية ، وضبط حجم الكمبيوتر ، والتبديل بين التطبيقات بمساعدة خادم الماوس البعيد المثبت على الجهاز. تم تثبيت تطبيق Android وحده أكثر من 10 ملايين مرة.
باختصار ، يمكن أن تسمح المشكلات ، التي تم تحديدها من خلال تحليل الحزم المرسلة من تطبيق Android إلى خدمة Windows ، للخصم باعتراض كلمة مرور المستخدم ، مما يجعلها عرضة لها طاولة قوس قزح الهجمات وحتى إعادة تشغيل الأوامر المرسلة إلى الكمبيوتر.
https://www.youtube.com/watch؟v=1CES8T2XACK
ملخص سريع للعيوب الست هو كما يلي –
- CVE-2021-27569: تعظيم أو تقليل نافذة عملية التشغيل عن طريق إرسال اسم العملية في حزمة مصنوعة.
- CVE-2021-27570: أغلق أي عملية تشغيل عن طريق إرسال اسم العملية في حزمة مصنوعة خصيصًا.
- CVE-2021-27571: استرداد التطبيقات المستخدمة مؤخرًا وتشغيلها ورموزها ومسارات ملفاتها.
- CVE-2021-27572: تجاوز المصادقة عن طريق إعادة تشغيل الحزمة ، مما يسمح للمستخدمين عن بُعد غير مصادقين بتنفيذ التعليمات البرمجية التعسفية عبر حزم UDP المصنوعة حتى عند تعيين كلمات المرور.
- CVE-2021-27573: تنفيذ التعليمات البرمجية التعسفية عبر حزم UDP المصنوعة بدون إذن أو مصادقة مسبقة.
- CVE-2021-27574: قم بتنفيذ هجوم سلسلة توريد البرامج من خلال الاستفادة من استخدام التطبيق لـ ClearText HTTP للتحقق من التحديثات وطلبها ، مما يؤدي إلى سيناريو حيث يمكن للضحية تنزيل ثنائي ضار بدلاً من التحديث الحقيقي.
قال بيرسنجر إنه أبلغ عن العيوب بالماوس البعيد في 6 فبراير 2021 ، لكنه أشار إلى أنه “لم يتلق أبدًا رد من البائع” ، مما أجبره على الكشف علنًا عن الحشرات بعد الموعد النهائي للكشف عن 90 يومًا. لقد تواصلنا مع مطوري الماوس عن بعد ، وسنقوم بتحديث القصة إذا سمعنا.
