微软在预装安卓应用中发现重大安全缺陷

微软365 Defender 研究团队在上周五发布一份安全公告指出，在向移动运营商提供软件的一家以色列公司 mce Systems 所拥有的移动框架中发现并修复了四个漏洞。

微软指出，“加上预装应用所拥有的大量系统权限，攻击者可利用这些漏洞访问系统配置和敏感信息。”

和安卓设备上的很多预安装或默认应用程序一样，微软的漏洞猎人警告称，在未获得设备的根访问权限的情况下，某些受影响应用无法被完全卸载或禁用。研究人员称这四个漏洞是CVE-2021-42598、CVE-2021-42599、CVE-2021-42600和CVE-2021-42601。这四个漏洞奖数百万款预装的安卓应用暴露给恶意软件攻击活动中。

微软发布安全公告表示，“我们尝试更好地了解预装的系统应用如何影响移动设备的整体安全性，于是着手研究框架漏洞。我们发现无数应用使用的框架都具有‘BROWSABLE’服务活动，可导致攻击者远程调用以利用多个漏洞，使攻击者植入持久性后门或者对设备进行重大控制。该框架似乎旨在提供自诊断机制，识别并解决影响安卓设备的问题，表明其权限很宽广，可访问有价值的资源。例如，该框架被授权访问系统资源并执行和系统相关的任务，如调整设备的音频、摄像头、电源和存储控制。此外，我们发现默认系统应用程序使用该框架利用其自诊断能力，说明附加应用也包括很多可通过易受影响框架利用的设备权限。”

微软研究员表示，其中某些漏洞也影响安卓和iOS设备上的其它应用。微软指出，“所有的应用都存在于谷歌应用商店中，可通过谷歌应用保护机制的自动安全检查，但这些检查此前并不会扫描这类型问题。”

2021年9月，研究员将漏洞详情分享给受影响厂商，微软表示 mce Systems 向受影响提供商发送了紧急框架更新并发布修复方案。微软指出，“尚未发现漏洞遭在野利用的迹象。”

微软还警告称，发现多个其它移动运营商在各自应用中使用易受攻击的框架，这表明可能还有其它提供商在使用这些受影响的框架。

https://www.securityweek.com/microsoft-finds-major-security-flaws-pre-installed-android-apps

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

    觉得不错，就点个 “在看” 或 "赞” 吧~