通常當研究人員發現軟件有錯誤時,該公司除了需要公開道歉之外,並需要立即解決存在的缺陷及提供修補更新版本,但是 Intel 為 Android 系統推出的Remote Keyboard 遠程鍵盤應用程式,在三名不同的安全研究人員發現一些嚴重的漏洞之後,Intel 似乎將決定完全拋棄應用程式,而不是修補漏洞。
根據 Intel 的安全警報,用家在手機無線控制 Intel NUC 及 Intel Compute Stick 設備的遠程鍵盤應用程式被發現有三個不同的漏洞,其中一個更被 Intel 列為本身的“關鍵”,這些攻擊使得同一網絡中的黑客可以劫持連接,並將擊鍵甚至惡意代碼注入受影響的 Android 設備。
在所有英特爾遠程鍵盤版本中,關鍵漏洞 ( CVE-2018-3641 ) 允許網絡攻擊者 “inject keystrokes as a local user” ,此漏洞的常見漏洞的 CVE 評分為 9.0分(滿分為10分),另外這兩個漏洞的評級都很高,據 Intel 稱,漏洞 ( CVE-2018-3645 及 CVE-2018-3638 ) 允許“授權本地攻擊者以特權用戶身份執行任意代碼”,CVE 分數為 8.8 和 7.2。
但是,在 Intel 向外透露了這些缺陷之後,該公司發表聲明稱:“Intel 已經為 Intel Remote Keyboard 遠程鍵盤發佈了產品停產通知,並建議 Intel Remote Keyboard 遠程鍵盤的用戶儘早將應用程式解除安裝。”
換句話說,Intel 沒有修復這個應用程式,已安裝使用的用家應該盡快刪除,Intel Remote Keyboard App 應用程式此前已版下載了超過 500,000 次,Intel 亦已從 Google Play 商店刪除了 Intel Remote Keyboard App,因此新用戶也無法下載。
Source : https://www.hkepc.com/16580