近日,微軟研究團隊在以色列軟體開發商 MCE Systems 預裝 Android 系統應用程式的一個框架中發現了 4 個高危漏洞。令人擔憂的是,目前這批 APPs 在 Google Play 官方應用商店的下載量已達數百萬。
上週五,微軟 365 Defender 研究團隊在釋出的一份報告中表示:“由於目前大多數 Android 裝置都附帶了許多預安裝或預設應用程式,因此,如果沒有獲得裝置的 root 訪問許可權,一些受影響的應用程式無法完全解除安裝或禁用。”
據悉,這些相關漏洞現可能會允許威脅行為人發動遠端和本地攻擊,或被濫用為載體,利用其廣泛的系統特權獲取敏感資訊。
Android Apps 上的高危漏洞:或對網路空間安全造成威脅
據報導,此次發現的這組漏洞涉及命令注入、本地許可權提升等方面,且都已被分配了識別符號: CVE-2021-42598、CVE-2021-42599、CVE-2021-42600 和 CVE-2021-42601,且 CVSS 得分介於 7.0 和 8.9 之間。
(“CVSS:通用漏洞評分系統,一個行業公開標準,被設計用來評測漏洞的嚴重程度,並幫助確定所需反應的緊急度和重要度。提供了一種捕獲漏洞主要特徵併產生反映其嚴重性的數字評分的方法”)
(命令注入概念驗證(POC)攻擊程式碼)
(向 WebView 注入類似的 JavaScript 程式碼)
這些漏洞裡有些最早是在 2021 年 9 月份就被發現並報告的,暫沒有證據表明這些缺陷正被利用。
此次,由於微軟並沒有披露使用該漏洞框架的應用程式的完整列表(該框架旨在提供自我診斷機制,以識別和修復影響 Android 裝置的問題),所以該框架擁有廣泛的訪問許可權(包括音訊、攝像頭、電源、位置、感測器資料和儲存許可權,以執行其功能)。
再加上此次該服務中發現的漏洞,因此微軟表示,它可能允許攻擊者植入持久後門並接管控制權。
目前,已經受到該批漏洞影響的客戶包括 Telus、AT&T、Rogers、Freedom mobile 和 Bell Canada 等這些大型國際移動服務提供商:
移動 Klinik 裝置檢查(com.telus.Checkup)
裝置幫助(com.att.dh)
MyRogers(com.fivemobile.myaccount)
Freedom 裝置維護(com.Freedom.mlp.uat),
Device Content Transfer(com.ca.bell.contenttransfer)
這些易受影響的隱患 Android Apps 雖然是由手機供應商預裝的,但也可以在谷歌 Play 商店上找到。
糟糕的是,一些受影響的 Android Apps 已經“逃”過了谷歌 Play 應用商店的自動安全檢查,且在未獲得裝置 root 訪問許可權的情況下無法被徹底解除安裝或禁用。
儘管在微軟釋出此次安全漏洞報告之前, MCE Systems 已經將相關漏洞進行了修復,但提供終端裝置的一些電信企業及移動服務提供商們,暫未能對使用了同一服務框架的 Android 應用程式做修復。
因此,微軟研究人員建議裝置上已經安裝了相關 Android Apps 的使用者請立即刪除,並下載最新的系統安全補丁。
此外,微軟還建議使用者留意應用程式包“com.mce.mceiotraceagent”,這是一個可能由手機維修店安裝的應用程式,一旦發現,請立即將其從手機中刪除。