微軟警告mce System服務框架漏洞波及廣大電信運營商的預裝應用
在mce Systems 提供的Android Apps 移動服務框架中,微軟研究人員發現了一系列嚴重的漏洞。更糟糕的是,這批易受攻擊Android Apps,已在Google Play 官方應用商店被下載了數百萬次,讓廣大用戶面臨命令注入和權限提升攻擊等重大風險。
(來自:Microsoft Security)
相關漏洞包括CVE-2021-42598、 CVE-2021-42599、CVE-2021-42600 和CVE-2021-42601,並且波及到了預裝在電信運營商定制移動設備上的預裝應用程序。
Microsoft 365 Defender 安全研究人員Jonathan Bar Or、Sang Shin Jung、Michael Peck、Joe Mansour 和Apurva Kumar 表示:
這些Android Apps 被嵌入到了設備的系統鏡像中,表明它們是原廠安裝的默認應用程序。
受影響的運營商包括AT&T、TELUS、Rogers Communications、Bell Canada、以及Freedom Mobile 。
尷尬的是,相關Android Apps 都逃過了谷歌官方應用商店的自動安全檢查(Google Play Protect)。
雪上加霜的是,在沒有獲得設備root 訪問權限的情況下,此類默認預裝的應用是無法被徹底卸載或禁用的。
(圖自:mce System)
雖然在微軟今日公開披露相關安全漏洞之前,設備製造商已經修復了相關漏洞以保護其客戶免受攻擊。
但提供終端設備的一些電信企業/ 移動服務提供商,尚未徹底掃清使用了同一隱患服務框架的Android 應用程序。
微軟補充道:
假如有別有用心的人在客戶設備上部署了隱患Android Apps(包名為com.mce.mceiotraceagent),其它設備也有可能遭遇此類漏洞濫用和潛在攻擊。
由於這些預裝應用擁有廣泛的系統權限,相關漏洞或成為攻擊者訪問系統配置和其它敏感信息的攻擊媒介。
有鑑於此,研究人員建議發現其設備上被安裝了相關Android Apps 的用戶即使清理,並及時打上最新的系統安全補丁。
最後,當BleepingComputer 於週五早些時候聯繫時,微軟尚未披露受影響的Android Apps 與移動運營商的完整列表。