近日,微软钻研团队在以色列软件开发商 MCE Systems 预装 Android 零碎应用程序的一个框架中发现了 4 个高危破绽。令人担忧的是,目前这批 APPs 在 Google Play 官网利用商店的下载量已达数百万。
上周五,微软 365 Defender 钻研团队在公布的一份报告中示意:“因为目前大多数 Android 设施都附带了许多预装置或默认应用程序,因而,如果没有取得设施的 root 拜访权限,一些受影响的应用程序无奈齐全卸载或禁用。”
据悉,这些相干破绽现可能会容许威逼行为人动员近程和本地攻打,或被滥用为载体,利用其宽泛的零碎特权获取敏感信息。
Android Apps 上的高危破绽:或对网络空间平安造成威逼
据报道,此次发现的这组破绽波及命令注入、本地权限晋升等方面,且都已被调配了标识符: CVE-2021-42598、CVE-2021-42599、CVE-2021-42600 和 CVE-2021-42601,且 CVSS 得分介于 7.0 和 8.9 之间。
(“CVSS:通用破绽评分零碎,一个行业公开规范,被设计用来评测破绽的重大水平,并帮忙确定所需反馈的紧急度和重要度。提供了一种捕捉破绽次要特色并产生反映其严重性的数字评分的办法”)
(命令注入概念验证(POC)攻打代码)
(向 WebView 注入相似的 JavaScript 代码)
这些破绽里有些最早是在 2021 年 9 月份就被发现并报告的,暂没有证据表明这些缺点正被利用。
此次,因为微软并没有披露应用该破绽框架的应用程序的残缺列表(该框架旨在提供自我诊断机制,以辨认和修复影响 Android 设施的问题),所以该框架领有宽泛的拜访权限(包含音频、摄像头、电源、地位、传感器数据和存储权限,以执行其性能)。
再加上此次该服务中发现的破绽,因而微软示意,它可能容许攻击者植入长久后门并接管控制权。
目前,曾经受到该批破绽影响的客户包含 Telus、AT&T、Rogers、Freedom mobile 和 Bell Canada 等这些大型国内挪动服务提供商:
挪动 Klinik 设施查看(com.telus.Checkup)
设施帮忙(com.att.dh)
MyRogers(com.fivemobile.myaccount)
Freedom 设施保护(com.Freedom.mlp.uat),
Device Content Transfer(com.ca.bell.contenttransfer)
这些易受影响的隐患 Android Apps 尽管是由手机供应商预装的,但也能够在谷歌 Play 商店上找到。
蹩脚的是,一些受影响的 Android Apps 曾经“逃”过了谷歌 Play 利用商店的主动安全检查,且在未取得设施 root 拜访权限的状况下无奈被彻底卸载或禁用。
只管在微软公布此次安全漏洞报告之前, MCE Systems 曾经将相干破绽进行了修复,但提供终端设备的一些电信企业及挪动服务提供商们,暂未能对应用了同一服务框架的 Android 应用程序做修复。
因而,微软钻研人员倡议设施上曾经装置了相干 Android Apps 的用户请立刻删除,并下载最新的零碎安全补丁。
此外,微软还倡议用户注意利用程序包“com.mce.mceiotraceagent”,这是一个可能由手机培修店装置的应用程序,一旦发现,请立刻将其从手机中删除。
参考链接:https://thehackernews.com/202...