Разработчики компании Intel сообщили, что разработка приложения Remote Keyboard для Android, вышедшего еще в 2015 году, будет прекращена. Более того, представители Intel просят пользователей удалить приложение, так как в нем были обнаружены сразу три серьезные уязвимости, исправлять которые в Intel уже не намереваются.
Приложение Intel Remote Keyboard позволяло пользователям «по воздуху» контролировать одноплатные компьютеры Intel NUC и Intel Compute Stick. Проблемы в составе приложения были найдены разными специалистами по информационной безопасности, и все три уязвимости представляют немалую опасность.
Так, проблема CVE-2018-3641 получила 9 баллов по шкале CVSS и перед ней уязвимы все версии Intel Remote Keyboard. Баг позволяет атакующему повысить свои привилегии и сообщить клавиатуре несуществующие в реальности нажатия клавиш. Уязвимость CVE-2018-3645 получила 8,8 балла по шкале CVSS и практически аналогична предыдущей. В данном случае «призрачные» нажатия клавиш может передать локальный атакующий, сообщив их удаленной Intel Remote Keyboard. Третий баг имеет идентификатор CVE-2018-3638, 7,2 балла по шкале CVSS и представляет угрозу для всех версий приложения. Проблема позволяет авторизованному локальному атакующему повысить свои привилегии, что в итоге ведет к выполнению произвольного кода на устройстве.
Как уже было сказано выше, патчей для перечисленных багов можно не ждать. Intel Remote Keyboard, загруженное из Google Play более 500 000 раз, более не поддерживается. Так, приложение уже было удалено из официальных каталогов Google и Apple, и пользователям советуют избавиться от клавиатуры как можно быстрее.