近日,Microsoft365Defender研究团队披露了mceSystems提供的AndroidApps移动服务框架存在严重安全漏洞,默认预装应用多个运营商受到影响。它已被下载数百万次。研究人员发现的漏洞被追踪为CVE-2021-42598、CVE-2021-42599、CVE-2021-42600和CVE-2021-42601,CVSS评分在7.0到8.9之间,让用户遭受命令注入和特权升级攻击,受影响的运营商包括AT&T、TELUS、RogersCommunications、BellCanada和FreedomMobile。研究人员发现该框架有一个“BROWSABLE”服务活动,可以远程调用以利用多个漏洞,攻击者可以利用这些漏洞植入持久性后门或获得对设备的实质控制。易受攻击的应用程序嵌入在设备的系统映像中,表明它们是这些运营商提供的预装软件。与当今大多数Android设备附带的许多预装或默认应用程序一样,如果不获得对设备的根访问权限,则无法完全卸载或禁用某些受影响的应用程序。在微软公开披露漏洞之前,mceSystems修复了问题并向受影响的提供商提供了框架更新,但研究人员发现,如果用户安装了名为com的软件包,一些运营商仍在使用之前易受攻击的框架版本。mce.mceiotraceagent的应用程序也可能受到滥用这些漏洞的攻击。建议用户及时删除这些应用,并更新至最新的系统版本。
