近日,微软365 Defender 钻研团队披露了在 mce Systems 提供的 Android Apps 移动服务框架中的重大安保破绽,多个运营商的自动预装运行受影响,其下载量已达数百万次。
钻研人员发现的破绽被追踪为CVE-2021-42598、CVE-2021-42599、CVE-2021-42600和 CVE-2021-42601, CVSS评分在 7.0分-8.9分之间, 能够让用户蒙授命令注入和权限优化攻打,受影响的运营商包含 AT&T、TELUS、Rogers Communications、Bell Canada和 Freedom Mobile。
钻研人员发现该框架有一个“BROWSABLE”服务优惠,可以远程调用以应用多个破绽,攻打者可以应用这些破绽来植入耐久性后门或对设备启动实质性控制。
这些带有破绽的运行程序嵌入在设备的系统映像中,标明它们是这些运营商提供的预装软件。似乎如今大少数 Android 设备附带的许多预装或自动运行程序一样,假设没有取得设备的 root 访问权限,一些受影响的运行程序就不可齐全卸载或禁用。
在微软地下披露这些破绽之前,mce Systems 已修复疑问并向受影响的提供商提供框架更新,但钻研人员发现一些运营商仍在经常使用之前存在破绽的框架版本,假设用户装置了包名为 com.mce.mceiotraceagent的运行,其设备也或者会遭到试图滥用这些破绽的攻打,倡导用户及时肃清这些运行,并更新至最新的系统版本。
© 版权声明