近日，微軟365 Defender 研究團(tuán)隊(duì)披露了在 mce Systems 提供的 Android Apps 移動(dòng)服務(wù)框架中的嚴(yán)重安全漏洞，多個(gè)運(yùn)營(yíng)商的默認(rèn)預(yù)裝應(yīng)用受影響，其下載量已達(dá)數(shù)百萬次。

研究人員發(fā)現(xiàn)的漏洞被追蹤為CVE-2021-42598、  CVE-2021-42599、  CVE-2021-42600和 CVE-2021-42601， CVSS評(píng)分在 7.0分-8.9分之間， 能夠讓用戶遭受命令注入和權(quán)限提升攻擊，受影響的運(yùn)營(yíng)商包括 AT&T、TELUS、Rogers Communications、Bell Canada和 Freedom Mobile。

研究人員發(fā)現(xiàn)該框架有一個(gè)“BROWSABLE”服務(wù)活動(dòng)，可以遠(yuǎn)程調(diào)用以利用多個(gè)漏洞，攻擊者可以利用這些漏洞來植入持久性后門或?qū)υO(shè)備進(jìn)行實(shí)質(zhì)性控制。

這些帶有漏洞的應(yīng)用程序嵌入在設(shè)備的系統(tǒng)映像中，表明它們是這些運(yùn)營(yíng)商提供的預(yù)裝軟件。如同現(xiàn)在大多數(shù) Android 設(shè)備附帶的許多預(yù)裝或默認(rèn)應(yīng)用程序一樣，如果沒有獲得設(shè)備的 root 訪問權(quán)限，一些受影響的應(yīng)用程序就無法完全卸載或禁用。

在微軟公開披露這些漏洞之前，mce Systems 已修復(fù)問題并向受影響的提供商提供框架更新，但研究人員發(fā)現(xiàn)一些運(yùn)營(yíng)商仍在使用之前存在漏洞的框架版本，如果用戶安裝了包名為 com.mce.mceiotraceagent的應(yīng)用，其設(shè)備也可能會(huì)受到試圖濫用這些漏洞的攻擊，建議用戶及時(shí)清除這些應(yīng)用，并更新至最新的系統(tǒng)版本。