Segundo o Microsoft 365 Defender Research Team, a Microsoft encontrou falhas em um framework usado por apps Android de grandes provedores.
Os pesquisadores de segurança da Microsoft encontraram vulnerabilidades de alta gravidade em um framework usado por aplicativos Android de vários grandes provedores de serviços móveis internacionais.
Microsoft encontrou falhas em um framework usado por apps Android
Os pesquisadores encontraram essas vulnerabilidades (rastreadas como CVE-2021-42598 , CVE-2021-42599 , CVE-2021-42600 e CVE-2021-42601 ) em uma estrutura móvel de propriedade da mce Systems , expondo os usuários a comandos de injeção e ataques de escalação de privilégios .
Os aplicativos vulneráveis têm milhões de downloads na Play Store do Google e vêm pré-instalados como aplicativos de sistema em dispositivos comprados de operadoras de telecomunicações afetadas, incluindo AT&T, TELUS , Rogers Communications , Bell Canada e Freedom Mobile .
“Os aplicativos foram incorporados na imagem do sistema dos dispositivos, sugerindo que eram aplicativos padrão instalados por provedores de telefonia.”, de acordo com os pesquisadores de segurança Jonathan Bar Or, Sang Shin Jung, Michael Peck, Joe Mansour e Apurva Kumar, do Microsoft 365 Defender Research Team.
“Todos os aplicativos estão disponíveis na Google Play Store, onde passam pelas verificações automáticas de segurança do Google Play Protect, mas essas verificações anteriormente não verificavam esses tipos de problemas.
“Como acontece com muitos aplicativos pré-instalados ou padrão que a maioria dos dispositivos Android vem com hoje em dia, alguns dos aplicativos afetados não podem ser totalmente desinstalados ou desativados sem obter acesso root ao dispositivo.”
Embora os fornecedores da Microsoft já tenham atualizado seus aplicativos para resolver os bugs antes que as falhas de segurança fossem divulgadas hoje para proteger seus clientes contra ataques, aplicativos de outras empresas de telecomunicações também usam a mesma estrutura de bugs.
“Vários outros provedores de serviços móveis foram encontrados usando a estrutura vulnerável com seus respectivos aplicativos, sugerindo que pode haver provedores adicionais ainda não descobertos que podem ser afetados.”, acrescentaram os pesquisadores.
A Microsoft acrescentou que alguns dispositivos Android também podem ser expostos a ataques que tentam abusar dessas falhas se um aplicativo Android (com o nome do pacote com.mce.mceiotraceagent) for instalado “por várias oficinas de reparo de telefones celulares”.
Aqueles que encontrarem este aplicativo instalado em seu dispositivo são aconselhados a removê-lo imediatamente de seus telefones para remover o vetor de ataque.
“As vulnerabilidades, que afetaram aplicativos com milhões de downloads, foram corrigidas por todas as partes envolvidas.”, disseram os pesquisadores.
“Juntas aos extensos privilégios de sistema que os aplicativos pré-instalados têm, essas vulnerabilidades podem ter sido vetores de ataque para os invasores acessarem a configuração do sistema e informações confidenciais.”