【滑鼠陷阱】下載量過千萬 Remote Mouse累用家面臨入侵風險
一款下載量超過 1,000 萬次的 Android app Remote Mouse,被發現有超過 6 個零日漏洞 (zero-day vulnerabilities) 存在。雖然網絡安全專家已向開發商舉報,但超過90日仍未有回應,現時漏洞已被公開,Remote Mouse 用家都是暫時用回實體滑鼠會較安全。
Remote Mouse 是一款可以將智能手機或平板電腦,轉變為電腦無線滑鼠的手機 app。它不單可作為電腦的滑鼠或 trackpad,亦支援語音輸入,以及可作為電腦多媒體播放器的遙控,因此甚受用家歡迎。根據它在 Google Play Store 上的描述,它曾被 CNET、Mashable、Product Hunt 等科技網站評為最優雅好用的電腦遙控應用軟件。而單單在Google Play Store上已被下載過千萬次,評分更達4.2分。
不過,網絡安全專家 Axel Persinger 卻在分析該軟件時,發現竟存有 6 個漏洞之多,Axel 將它們統稱為 Mouse Trap 漏洞,原因是當它與 Windows 電腦版軟件連接時的認證系統不夠安全,讓黑客可以很容易逆向破解其配對驗證密碼,從而截取 Remote Mouse 伺服器的數據,甚至向電腦發送及遙距執行惡意編碼,從而入侵電腦。
該 6 個漏洞分別是:
CVE-2021-27569:可通過特製化數據封包,最大或最小化正在執行的視窗。
CVE-2021-27570:可通過特製化數據封包,關閉任何正在執行的程序。
CVE-2021-27571:查閱最近曾使用和正在執行的應用程式,以及其圖標和文件路徑。
CVE-2021-27572:可通過重播數據封包繞過身份驗證程序,讓黑客可遠端登入系統,並經發送UDP封包執行惡意編碼。
CVE-2021-27573:在未獲授權或身份驗證的情況下,發送UDP數據封包執行惡意編碼。
CVE-2021-27574:利用軟件發送明文HTTP去檢查和請求系統更新的漏洞,向目標電腦回傳惡意系統更新。
Axel 早於今年 2 月已通知 Remote Mouse 開發商這 6 個漏洞,不過事件三個月仍未獲對方回覆,而且期間對方雖然有提供系統更新,但卻不涉該 6 個漏洞,因此 Axel 便公開漏洞的詳細內容,同時發信給 Microsoft、Apple 及 Google,希望對方會從官網暫時移除 Remote Mouse。不過,現時 Remote Mouse 仍可在各應用程式商店下載,用家為免被入侵,應立即停止及移除該應用軟件,待推出更新後才重新使用。