Věřili jste až příliš: Aplikace pro ovládání PC přes Android prozrazují hackerům hesla i přístup do bankovnictví

Tři populární Android aplikace pro bezdrátové ovládání počítače posílaly stisky kláves v čitelné podobě. Jedna z nich je v českém Google Play dodnes.

Zdroj fotografie: Pexels

Představte si scénář: ležíte na gauči, na televizi běží film a z telefonu přes Wi-Fi ovládáte počítač. Píšete heslo do e-mailu, otevíráte internetové bankovnictví, zadáváte jednorázový kód. Pohodlné, intuitivní, a přesně proto nebezpečné. Bezpečnostní tým Black Duck CyRC v roce 2022 rozebral trojici utilit (Telepad, PC Keyboard a Lazy Mouse) a popsal u nich kritické zranitelnosti s hodnocením až 9,8 z 10 na stupnici CVSS. Dohromady měly přes dva miliony stažení. Problém se znovu vrací do debaty, protože jedna z nich je na českém Google Play stále dostupná a stále ji stahují tisíce lidí měsíčně.

Jak z pohodlného ovladače vznikla otevřená brána

Všechny tři aplikace fungují na stejném principu. Na telefon si nainstalujete klientskou část, na počítač serverovou. Telefon se připojí k PC přes lokální síť a stane se bezdrátovou klávesnicí, touchpadem nebo myší. Každý stisk klávesy i pohyb kurzoru putuje z Androidu do počítače.

Jenže podle advisory Black Duck CyRC tato komunikace u všech tří aplikací probíhala bez šifrování. Útočník v pozici man-in-the-middle, tedy kdokoli, kdo dokáže odposlouchávat provoz ve stejné síti, viděl veškerá data včetně stisků kláves v čitelné podobě: login, heslo, kód z SMS. Všechno jako na dlani.

A to je teprve první cesta útoku.

Dvě cesty, jeden výsledek: kompromitovaný počítač

Black Duck popsal u těchto aplikací šest konkrétních zranitelností (CVE-2022-45477 až CVE-2022-45483), které se dají rozdělit do dvou kategorií:

• Odposlech v plaintextu. Přenos mezi telefonem a PC nebyl šifrovaný. Cokoli uživatel napsal (heslo do banky, přihlašovací údaje k e-mailu, adresu), mohl útočník zachytit a přečíst.
• Vzdálené spouštění příkazů bez autentizace. Serverová část na PC přijímala instrukce bez jakéhokoli ověření. Neautorizovaný útočník mohl posílat příkazy přímo do počítače a spouštět je, jako by seděl u klávesnice.

Právě druhá kategorie posouvá riziko na jinou úroveň. Nejde jen o krádež hesla. Útočník může převzít celý počítač, nainstalovat malware, otevřít vzdálený přístup nebo procházet soubory. A pokud se z toho počítače uživatel běžně přihlašuje do internetového bankovnictví, cesta k účtu je otevřená. Ne proto, že by aplikace „hackla banku“, ale proto, že kompromitovala stroj, ze kterého se do banky přistupuje.

Jedna je pryč, druhá je pryč, třetí je stále v obchodě

Časová osa je důležitá. Black Duck kontaktoval vývojáře všech tří aplikací poprvé 13. srpna 2022. Následoval druhý pokus 18. srpna a třetí 12. října. Nikdo neodpověděl. Advisory vyšlo veřejně 29. listopadu 2022.

Od té doby se situace u každé aplikace vyvinula jinak:

Aplikace	Stav na Google Play	Poslední update	Odhadovaná stažení
Telepad	Stažena (srpen 2022)	duben 2019	~710 tisíc
Lazy Mouse	Stažena (únor 2023)	srpen 2018	~220 tisíc
PC Keyboard	Stále dostupná	říjen 2025	~1,9 milionu

Telepad a Lazy Mouse z Google Play zmizely. Původní web Telepad dnes zobrazuje jen prázdnou stránku s textem „This domain is coming soon.“ Lazy Mouse se naposledy aktualizovala v roce 2018. Obě aplikace jsou fakticky mrtvé.

Jenže PC Keyboard žije dál. V české verzi Google Play je stále ke stažení, podle odhadu AppBrain ji jen za posledních 30 dní stáhly tisíce uživatelů a v říjnu 2025 dostala aktualizaci na verzi 54. Black Duck původně popsal zranitelnosti u verze 30 a starších. Veřejně ale neexistuje potvrzení, zda současná verze původní chyby opravila.

A tady je pikantní detail přímo z popisu aplikace na Google Play. Vývojář sám uvádí: „Aplikace odesílá data o stisknutí kláves a myši do vašeho počítače bez šifrování.“ Ve stejném listingu ovšem sekce Data Safety tvrdí, že „data jsou šifrována během přenosu“. Tyto dvě věty si přímo odporují.

Co dělat, pokud jste tyto aplikace používali

Odstranění aplikace z Google Play neznamená její zmizení z telefonu. Google to výslovně potvrzuje: stažená appka zůstává nainstalovaná, jen ji nejde znovu stáhnout ani aktualizovat. Pokud jste Telepad nebo Lazy Mouse používali v minulosti, zkontrolujte si seznam aplikací v Nastavení → Aplikace. Hledejte i podle názvů balíčků: com.pinchtools.telepad, com.ahmedaay.lazymouse2, com.beapps.pckeyboard.

Pokud některou z nich najdete, postup je jednoznačný:

• Odinstalujte aplikaci z telefonu.
• Odstraňte serverovou/companion část z počítače.
• Z jiného, čistého zařízení změňte hesla ke všem důležitým účtům, ke kterým jste se z daného PC přihlašovali.
• Zkontrolujte historii přihlášení a bankovních transakcí.
• Ověřte, že máte zapnuté dvoufaktorové ověření.

NÚKIB u podobných případů výslovně doporučuje měnit hesla k internetovému bankovnictví z jiného zařízení a nevyužívat jeden přístroj zároveň pro přihlášení i příjem potvrzovacích kódů. U odposlechu v plaintextu navíc platí nepříjemná pravda: únik se nemusel nijak projevit. Žádné varování, žádná notifikace. Absence stop neznamená bezpečí.

Bezpečnější alternativy existují

Potřeba ovládat počítač z telefonu je legitimní. Rozdíl je v tom, jak to konkrétní aplikace řeší. KDE Connect komunikuje přímo mezi zařízeními a šifruje provoz přes TLS 1.2. Chrome Remote Desktop šifruje celé relace a vyžaduje přístup přes PIN. Ani jedno řešení není stoprocentně neprůstřelné (žádný software není), ale obě mají explicitně popsanou autentizaci a šifrování. To je přesně to, co u Telepad, PC Keyboard a Lazy Mouse chybělo.

Největší problém nikdy nebyla samotná aplikace. Byl to typ důvěry, kterou jí uživatelé dávali. Utilita pro ovládání počítače z telefonu má ze své podstaty přístup ke všemu, co na tom počítači děláte: e-mailům, správci hesel i bankovním relacím. Když taková aplikace posílá stisky kláves bez šifrování a přijímá příkazy bez ověření, z pohodlného ovladače se stává otevřené okno do vašeho digitálního života.