社区编辑申请
注册/登录
微软发现 Android 预装应用受高危漏洞影响
安全 移动安全
近日,微软365 Defender 研究团队披露了在 mce Systems 提供的 Android Apps 移动服务框架中的严重安全漏洞,多个运营商的默认预装应用受影响,其下载量已达数百万次。

近日,微软365 Defender 研究团队披露了在 mce Systems 提供的 Android Apps 移动服务框架中的严重安全漏洞,多个运营商的默认预装应用受影响,其下载量已达数百万次。

研究人员发现的漏洞被追踪为CVE-2021-42598、  CVE-2021-42599、  CVE-2021-42600和 CVE-2021-42601, CVSS评分在 7.0分-8.9分之间, 能够让用户遭受命令注入和权限提升攻击,受影响的运营商包括 AT&T、TELUS、Rogers Communications、Bell Canada和 Freedom Mobile。

研究人员发现该框架有一个“BROWSABLE”服务活动,可以远程调用以利用多个漏洞,攻击者可以利用这些漏洞来植入持久性后门或对设备进行实质性控制。

这些带有漏洞的应用程序嵌入在设备的系统映像中,表明它们是这些运营商提供的预装软件。如同现在大多数 Android 设备附带的许多预装或默认应用程序一样,如果没有获得设备的 root 访问权限,一些受影响的应用程序就无法完全卸载或禁用。

在微软公开披露这些漏洞之前,mce Systems 已修复问题并向受影响的提供商提供框架更新,但研究人员发现一些运营商仍在使用之前存在漏洞的框架版本,如果用户安装了包名为 com.mce.mceiotraceagent的应用,其设备也可能会受到试图滥用这些漏洞的攻击,建议用户及时清除这些应用,并更新至最新的系统版本。

责任编辑:未丽燕 来源: FreeBuf.com
相关推荐

2022-01-11 10:21:47

2022-06-16 15:56:57

安全专家微软漏洞

2022-05-05 10:57:43

GoogleAndroid 13漏洞

2021-11-25 09:18:44

2022-06-04 07:51:29

2022-05-08 23:17:26

漏洞补丁Android

2022-05-26 12:03:00

补丁漏洞网络安全

2019-05-15 15:20:01

微软漏洞防护

2022-02-09 11:43:33

2020-06-12 11:14:29

微软漏洞操作系统

2020-03-14 19:51:33

漏洞系统安全

2019-11-18 20:24:11

Android安全风险Kryptowire

2021-08-22 14:48:24

2021-07-14 14:35:49

2021-11-26 09:55:09

2021-11-15 16:06:06

2022-01-03 07:19:47

2021-11-27 16:47:48

2022-01-27 23:26:40

2020-05-28 11:09:36

漏洞安全IT

编辑推荐

如何对iOS应用进行修改并重新签名家用路由器被劫持的分析与应对物联网面临的7大网络安全威胁严防僵尸网络 如何让自家路由器更安全你连的WiFi或许是假的钓鱼AP
我收藏的内容
点赞
收藏

51CTO技术栈公众号