记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

Remote Mouse App 6个0 day漏洞影响1000万用户

2021-05-09 15:41

Remote Mouse是一款安卓和iOS 系统中使用的远程控制应用,可以将手机和平板变成计算机的无线鼠标、键盘,支持语音输入、调整计算机音量、在不同应用之间切换。安卓版本的APP累计安装量超过1000万次。

安全研究人员Axel Persinger在Remote Mouse APP中发现6个0 day漏洞,这6个漏洞被统称为Mouse Trap。攻击者利用这些漏洞可以实现没有任何用户交互的代码执行。

这6个漏洞分别是:

· CVE-2021-27569: 通过在伪造的包中发送进程名来最大化或最小化运行进程的窗口;

· CVE-2021-27570: 通过在伪造的包中发送进程名来关闭任意运行的进程;

· CVE-2021-27571:提取最近使用和运行的应用进程、图标和文件路径;

· CVE-2021-27572: 通过包重放的认证绕过漏洞,远程的非认证用户可以通过伪造的UDP包来执行任意代码;

· CVE-2021-27573: 通过伪造的UDP包在没有任何认证和授权的情况下执行任意代码;

· CVE-2021-27574: 利用app使用明文HTTP来检查和请求更新的机制来发起软件供应链攻击,使得受害者下载恶意二进制文件而非真实的应用更新。

相关漏洞是研究人员在分析安卓版本APP和Windows 服务之间的包时发现的,攻击者利用这些漏洞可以拦截用户哈希后的口令,进一步发起彩虹表攻击,甚至发重放发送给计算机的命令。

Persinger称相关漏洞在2021年2月6日就报告给了厂商,但是至今没有得到厂商的回应。目前厂商已经发布了4.0.0.0版本的更新,但是没有修复上述任意一个漏洞。

更多技术细节参见:https://axelp.io/MouseTrap

参考及来源:https://thehackernews.com/2021/05/6-unpatched-flaws-disclosed-in-remote.html


知识来源: https://mp.weixin.qq.com/s?__biz=MzI0MDY1MDU4MQ==&mid=2247520649&idx=2&sn=ef37a8dfbf9fe7105382d173270e7c02&chksm=e91541b3de62c8a55542cd0cf42e20cb20f3c19b8c55972a821bf4d9bacfffe5a06d908f68e7&scene=27&k

阅读:77574 | 评论:0 | 标签:漏洞 app

想收藏或者和大家分享这篇好文章→复制链接地址

“Remote Mouse App 6个0 day漏洞影响1000万用户”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

求赞助求支持·广告位💖

标签云