研究人员在3款远程键盘中发现7个安全漏洞 ，安卓影响超过200万用户 。远程影响用户

远程键盘APP允许用户将设备通过无线方式连接到计算机
。键盘Synopsys研究人员在3款远程键盘APP中发现多个安全漏洞，漏洞攻击者利用相关漏洞可以泄露用户键盘输入，超万并实现远程代码执行。安卓受影响的远程影响用户3款APP在谷歌应用商店累计下载量超过200万次。

图 谷歌play中的键盘PC Keyboard和 Lazy Mouse

受影响的APP分别是PC Keyboard、Lazy Mouse、漏洞Telepad ，超万受影响的亿华云安卓版本既包括免费版，也包括付费版 。远程影响用户研究人员在这3款APP中发现了弱认证机制或没有认证授权机制、键盘不安全的漏洞通信等问题 。漏洞CVE编号分别为 ：CVE-2022-45477：是超万Telepad APP中的安全漏洞，CVSS评分9.8分
。攻击者利用该漏洞可以在非授权的请求下发送指令给服务器来执行任意代码，而无需认证或授权。

目前，这三款APP都不再维护或支持。Telepad已从谷歌play应用商店移除 ，但仍然可以从官网下载 。

继续使用有漏洞的APP可能会暴露用户敏感信息 。远程攻击者成功利用漏洞可以在用户设备上执行任意代码。源码下载研究人员建议用户在下载远程键盘APP之前首先检查用户评分 ，阅读隐私政策，并检查是否是最新版本。如果可以的话，还应确认数据的数据是否是加密的
。

本文翻译自
：https://www.bleepingcomputer.com/news/security/critical-rce-bugs-in-android-remote-keyboard-apps-with-2m-installs/